زي ميستيريوس كيس اوف انا مش انا – الجزء الاول – مقدمة
زي ميستيريوس كيس اوف انا مش انا – الجزء الاول – مقدمة
==================
تنويه: كتبت المجموعة دي من المقالات عبر 2018 ، 2019 ، 2020 ، كل مرة كنت اكتب جزء و اما افتقد للوقت ، الجهد ، الخبرة او الدقة العلمية في جزء معين فاما اتوقف او اتوه ، لذا قد تأتي بعد الاجزاء غير متصلة او
Outdated
فلو حد عنده مراجعة فليتفضل
=================
اما الناس كانت بتتكلم عن ال
Hacking/Ethical hacking
كان ديما في نوشن يا اما نهاك الويب او الوايرلسس ، و طبعا في نوشن اختراق الويندوز ، طبعا الكل عارف انه في طرق كتير تقدر تخترق بيها الويندوز ، بس دايما كان عندي
Fascination
مش بكيفية الاختراق ، لا ازاي نخفي الاختراق ، علشان كده دايما اما كنت بحقق في مشكلة
Malware
ممكن ببقا مش عارف هو فين ، بس عارف ادور فين…
ده خلاني دايما ادور في حتتين ، النتوورك او الهاردديسك ، و ده سبب انه مثلا في تريجرات كان اول حاجة عملتها انه نقدر نشوف كل النتورك تررافيك بالبروسس بتاعته ، لانه دايما ال
Malware
عايز يتكلم على النتورك
بس كان في صندوق كده حاولت افتحه كتير ، اخد مني وقت و مجهود علشان افهم الصندوق ده اصلا ، و علشان افهم اما حفتحه حلاقي فيه ايه ، الميموري
صحيح في معلومات كتير اوي نقدر نعرفها عن السيستم و هل هو
Infected/hacked
و لا لاء من النتورك و الديسك ، بس لا غنى انه نبص جوا الميموري و نطلع منها البهاريز كلها ، بس البحث جوا الميموري عن
Malware
مش سهل زي ما انت متخيل
===============
من اكتر الحاجات اللي كانت بتخوفني ، هي انه يكون السيستم مخترق بس الهاكر قادر يعمل
Patching/hiding
للفيروس جوا بروسس شكلها منطقي زي
Svchosts.exe
لدرجة اني كرهت البروسس دي نفسها اصلا ، بس مش كتير لقيت الموضوع ده ، كان دايما المالوير رامي نفسه باسم مشابه
Svch0sts.exe
مثلا و حاطط نفسه في ال
Temp
بس ايه اللي ممكن يحصل لو الهاكر متقدم و بيلعب صح……………..
==================
السنة اللي فاتت كتبت مقال حوالين ال
Fileless attack https://www.facebook.com/Mahmoud.magdy.soliman/posts/10158696645230645
و ده حمسني اكتر انه لازم نبص جوا الميموري اكتر و نشوف هل فعلا البروسس اللي شغالة بتشغل كود مشبوه و لا لاء و هنا ده دور السلسة دي
السلسة دي كام جزء ، ححاول اجمعهم الفترة اللي جاية كالتالي:
- الجزء الاول: How PE works حنشوف فيه ازاي الملف التنفيذي بيشتغل و بيعرف نفسه
- الجزء الثاني: تكمله للجزء الاول مع نظرة لل DLL
- الجزء الثالث: بعنوان : انت مش ابنيييييييييييييي و ايه العلاقة بين ال Parent/child process
- الجزء الرابع : بعنوان: لا مؤاخذة اقلع و فلقس علشان تتحقن و نظرة على ال Process injection
- الجزء الخامس: بعنوان (على اد الايد مستوحى من برنامج ال CBC) و ازاي تعمل EDR في البيت
==========================
لو متابع من زمان فاحنا بصينا اكتر من مرة على ال
Process/thread
و ايه الفروق بينهم ، بس هي ازاي اصلا البروسس بتتعمل ؟! يلا بينا
PE files or portable executables
هو الملف التنفيذي اللي يقدر ينفذ تعليمات برمجية مباشرة ، في شرح حلو اوي طويل عريض عنا
بس احنا حنسيب كل حاجة و نروح على الحتة دي بتاعت ال Export data
اللي هي لو موجودة بتخلي ال
EXE/DLL
يعمل Export لل
Functions/variables to other EXE
typedef struct _IMAGE_EXPORT_DIRECTORY {
ULONG Characteristics;
ULONG TimeDateStamp;
USHORT MajorVersion;
USHORT MinorVersion;
ULONG Name;
ULONG Base;
ULONG NumberOfFunctions;
ULONG NumberOfNames;
PULONG *AddressOfFunctions;
PULONG *AddressOfNames;
PUSHORT *AddressOfNameOrdinals;
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
هنا حنبص على 3 حاجات
NumberOfFunctions هو عدد الفانكشنز المتاحة للاكسبورت
NumberOfNames هو فيه اسامي الفانكشنز المتاحة للاكسبورت
لو عايز تكمل ، حيكون عليك انه تقرا مقال قديم شويتين بقاله عشرين سنة https://docs.microsoft.com/en-us/archive/msdn-magazine/2002/march/inside-windows-an-in-depth-look-into-the-win32-portable-executable-file-format-part-2 علشان تبقا جاهز للجزء الثاني…..
هابي malware ايفري ون