- بواسطة x32x01 ||
مقدمة بسيطة عن Cold Security Techniques 
الـ Cold Security Techniques أو اللي بنسميها هنا Evasion Techniques، هي طرق الهاكرز عشان يخدعوا طبقات الحماية ويخلّوا الهجوم يعدّي من غير ما الـ Anti‑Virus أو الـ Sandbox أو الـ IDS/IPS يكتشفوه. بالمصري: يا بتمر من ورا الحماية، يا تدخل جوه البيانات من غير حد يحس، يا تلبس «بدلة» حد تاني، يا تتقسم وتدخل على مراحل - والنتيجة إن طبقة الحماية بتبقى عاملة زي مجمّدة ومش بتعرف تتصرف. 
هنشرح الموضوع على 3 مستويات: End‑Points، Network، وWeb - وبنحط أمثلة بسيطة ونصايح للـ Blue Team.
إيه الفرق بين الـ Sandbox والـ Anti‑Virus وإزاي الهاكرز بيعدّوهم؟ 
ازاي بيشتغل الـ Sandbox
الـ Sandbox بيجي قبل ما الملف يوصل للجهاز. بيعمل تحليل ثابت (ما يشغّل الملف) وتحليل ديناميكي (يشغّله داخل VM ويتابع سلوكه). لو لاحظ سلوك غريب - يوقف الملف وما يسمحلهش يوصل للـ End‑Points.قد ايه الهاكرز يقدروا يخدعوا الـ Sandbox؟
في شوية طرق مستخدمة كتير علشان تخلي الملف يعدّي:- Obfuscation
: تشويش الكود أو الداتا عشان محلّل الـ Malware ميعرفش يقرأها (مثلاً XOR، Base64، custom encodings). - Packing
: ملف جوه حزمة، وممكن يكون multi‑layer زي ماتريوشكا - كل طبقة لازم تتفك علشان توصل للكود الحقيقي. - Process Hollowing
: تحط الـ payload جوه process نظامي مشهور (زي explorer.exe)، فيبقى شكله طبيعي للـ AV. - Anti‑Debugging
: وظائف في الـ malware تكشف لو حد بيحلله بالـ debugger وتغيّر سلوكها أو توقف نفسها.
المستوى على End‑Points - إزاي الهاكرز بيعدّوا مضادات الفيروسات والسندبوكس 
Obfuscation وPacking
- Obfuscation بتخلي الكود ملخبط ومش مفهوم - وده يوقف التحليل الثابت.
- Packing بيغطّي الملف بعدة طبقات، وكتير من الـ Sandboxes بتحتاج وقت طويل علشان تفكّ الطبقات دي.
Process Hollowing وCode Injection
بدل ما تشغل ملف خبيث على طول، بتدخّل الكود جوه عمليّة مرخّصة للنظام - في الحالة دي الـ AV بيتضايق ومايقدرش يعرّف السلوك بسهولة.Anti‑Debugging Techniques
في Functions بتفحص الـ Program Environment Block أو بتبحث عن نوافذ أدوات تحليل (زي OllyDbg، IDA) - لو لقت أدوات تحليل، الملف يوقف تصرفه الطبيعي أو يخبّي أجزاء من نفسه.المستوى الشبكي (Network) - ازاي يخفّوا الحركة؟ 
Tunneling - التخفي جوه قنوات شرعية
الهاكرز يدخلوا قناة التحكم بتاعتهم جوه قناة بتستخدمها برامج شرعية (مثلاً session بتاع TeamViewer أو HTTP عادي)، فالفايروول يشوفها كحركة مألوفة وما يشتبهش فيها.Handshake Evasion - خداع قواعد الاتصال
الـ Firewalls بتعتمد على الـ three‑way handshake. لو بعت ACK من غير SYN، ممكن الفايروول يفترض إن الجلسة شغّالة ويعدّيك.Fragmentation - تقطيع الباكتس
بتقطع الباكت الكبيرة لباكت صغيرة علشان الـ IDS مايقدرش يجمعها ويتعرّف النمط الخبيث.Timing Slow - التباطؤ المتعمد
أدوات الكشف بتحط thresholds (مثلاً Snort يطلع إن في scan لما يتم فتح عدد كبير من البورتات في ثانية). لو تعمل scan ببطء شديد مش هتوصل للـ threshold ومش هيتولد alert.تقنيات تانية
فيه كمان Proxies، Decoys، Data Lengthing، وغيره - كل واحدة بتلعب على حاجة في نظام المراقبة.Web Evasion - لمحة وتمهيد للجزء الجاي 
الجزء الخاص بتخطي الحماية على طبقة الويب واسع وتقني - فيه شغلات زي تزوير الـUser‑Agent، استغلال CORS، خداع WAFs بطرق محددة، إلخ. هفصّلهولك في الجزء الجاي مع أمثلة عملية لو تحب. 
نصايح للـ Blue Team - خطوات عملية لحماية أفضل
- ركّز على تحليل السلوك (behavioral) مش بس signatures.
- استخدم Sandbox يقدر يتعامل مع multi‑layer packing ويفتح الـ VM بتكوينات مختلفة.
- اعمل Monitoring للـ Network flows مش بس packet inspection.
- حدّث قواعد الـ IDS/IPS ودور على Patterns بتدل على تبطيء أو تجزئة في الحركة.
خاتمة قصيرة 
الـ Cold Security / Evasion Techniques بتستغل نقاط ضعف في طريقة كشف وحماية الأنظمة. مهم نفهم التقنيات دي عشان نحسّن الدفاع ونجهّز ردود فعل مناسبة. التعديل الأخير: