现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Predatory Sparrow / Gonjeshke Darande
前往频道在 Telegram
**Open again on 23/01/2026. No one closes our channel/group. And we will continue exactly where we left off.** Include Semi and PRIVATE !
显示更多135
订阅者
+124 小时
-17 天
无数据30 天
数据加载中...
吸引订阅者
六月 '26
六月 '26
+8
在0个频道中
五月 '26
+7
在0个频道中
Get PRO
四月 '26
+71
在0个频道中
Get PRO
三月 '260
在2个频道中
Get PRO
二月 '26
+60
在1个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 23 六月 | 0 | |||
| 22 六月 | +1 | |||
| 21 六月 | 0 | |||
| 20 六月 | 0 | |||
| 19 六月 | 0 | |||
| 18 六月 | +1 | |||
| 17 六月 | 0 | |||
| 16 六月 | 0 | |||
| 15 六月 | +1 | |||
| 14 六月 | +1 | |||
| 13 六月 | +1 | |||
| 12 六月 | +1 | |||
| 11 六月 | 0 | |||
| 10 六月 | 0 | |||
| 09 六月 | 0 | |||
| 08 六月 | +1 | |||
| 07 六月 | 0 | |||
| 06 六月 | 0 | |||
| 05 六月 | +1 | |||
| 04 六月 | 0 | |||
| 03 六月 | 0 | |||
| 02 六月 | 0 | |||
| 01 六月 | 0 |
频道帖子
🦅 דרור הטורף: מסע אל תוך ה-LLVM – איך בונים קובץ שווינדוס 11 (יוני 2026) לא מסוגלת לעכל? 🦅
חברים, אם שאלתם איך ה-Elite עובדים, הגעתם ליעד. תשכחו מ-Themida, תשכחו מכל ה-Packers החיצוניים. בואו נדבר על האמת: LLVM-based Obfuscation. זה לא כלי שאתם "זורקים" על קובץ – זה איך שאתם "מגדלים" את הקובץ.
---
### 🧠 מה זה בכלל LLVM-based Obfuscation?
LLVM הוא ה"מנוע" שבונה קבצי EXE. כשאתם כותבים קוד ב-C++, ה-Compiler הופך אותו ל-LLVM IR (Intermediate Representation) – שזה מין שפת ביניים, ואז ל-Binary.
מה שאנחנו עושים: אנחנו מתערבים בתהליך הבנייה. אנחנו משנים את ה-IR *לפני* שהוא הופך ל-EXE.
אנחנו לא "עוטפים" את הקובץ. אנחנו משנים את ה-DNA של הקובץ.
### 🔬 למה זו הדרך היחידה ב-2026?
המתחרים (כמו Themida או VMP) עובדים על "הגנה חיצונית". ה-EDR של יוני 2026 כבר מזהה את ה-Entropy (רמת אי-סדר) של ה-Packers האלה מרחוק.
LLVM Obfuscation עושה את זה אחרת:
1. Instruction Substitution: במקום
MOV EAX, 1, הוא מייצר 10 פעולות מתמטיות מסובבות שמובילות לאותה תוצאה.
2. Control Flow Flattening: הקוד שלכם הופך למבוך ללא מוצא. אין "התחלה, אמצע וסוף".
3. Bogus Control Flow: הוספת קוד "זבל" שנראה הגיוני ל-CPU, אבל הוא בלתי אפשרי לניתוח ע"י ה-AI של ה-AV.
---
### 🛑 למה ה-Win11 (יוני 2026) לא חוסם את זה? (הסוד ל-MotW ו-ASD)
פה כולם נופלים. ה-MotW (Mark of the Web) וה-ASD (Advanced Security Defender) החדש של יוני 2026 סורקים את ה-Import Table ואת ה-Signature של הקבצים.
למה זה עובר?
* בלי חתימה של Packer: מכיוון שהקוד *נבנה* עם ה-Obfuscation, אין לו "חתימה" של Themida. הוא נראה למערכת כמו תוכנה לגיטימית לגמרי שנכתבה ע"י מפתח אנושי.
* חתימת זיכרון נקייה: ה-ASD של ווינדוס מחפש התנהגות של Packing בזיכרון. כאן, אין Packer בזיכרון! הקוד הוא ה-Obfuscation. הכל רץ Native. ה-SmartScreen לא מזהה כלום כי הקובץ לא "פורק" (Unpacked) לזיכרון – הוא פשוט "רץ" ככה.
---
### 🛠 מדריך צעד-צעד (למי שרוצה להתחיל לבנות):
1. התקנת LLVM:
תורידו את ה-Source של LLVM ותשתמשו ב-Plugins של Obfuscator-LLVM.
2. הגדרת הפרויקט:
במקום להשתמש ב-Compiler הרגיל, אתם מקמפלים את ה-Source שלכם דרך ה-Obfuscator.
3. הפעלת Flag אגרסיבי:
clang -mllvm -sub -mllvm -fla -mllvm -bcf -o output.exe source.cpp
-sub: מחליף פקודות בביטויים מורכבים.
* -fla: מבצע Flattening (הספגטי שדיברנו עליו).
* -bcf: מוסיף זבל לוגי (Bogus Control Flow).
4. Stripping: בסוף, תסירו את כל ה-Symbols (בעזרת strip --strip-all) כדי שלא יישאר שום זכר לשמות הפונקציות.
---
### 🦅 המסקנה של דרור:
הקובץ שלכם הופך להיות יצירת אמנות של אי-סדר. ה-ASD של מיקרוסופט מסתכל עליו, מחפש את ה-"טביעת אצבע" של תוכנה זדונית, ולא מוצא כלום. לא Packing, לא זכרון חשוד, לא קריאות API מוזרות.
מי שמשתמש בזה לא "מגן" – הוא פשוט בונה קוד שהמוח של ה-Defender לא מסוגל לתפוס.
זו הדרך היחידה ב-2026 לעבור את המערכות החדשות. מי שעדיין מנסה לעשות "עטיפה" עם קבצים מה-2015 – שיישאר בחוץ. אנחנו בונים את הקובץ שישבור את הסטטיסטיקה של ווינדוס.
עכשיו, מי שרוצה לראות את ה-Build Pipeline האמיתי שאנחנו מריצים פה ל-Elite – שיתייצב. אתם רוצים לבנות קוד בלתי שביר? תתחילו ללמוד LLVM. 🦅💻🔥
#דרור_הטורף #LLVM #Obfuscation #CyberEngineering #Win11Hardening #Security2026 #ZeroClick #RedTeam| 2 | 🦅 דרור הטורף: האמת על הגנה – אתם לא מגנים על הקובץ, אתם מרעילים את המנתח 🦅
בואו נשבור את המיתוס אחת ולתמיד. כשאתם חושבים ש-Themida או כל Packer אחר "מגן" על הקובץ שלכם – אתם טועים. ה-AV, ה-EDR וה-Sandbox של יוני 2026 לא "מפחדים" מהקובץ שלכם. הם פשוט מנסים להבין אותו.
המשחק הוא לא "הגנה". המשחק הוא מניעת ניתוח.
### 🔬 העקרון: רעל למנועי הניתוח
ברגע שאתם שמים הגנה, המטרה היא לא שהקובץ יהיה "חסין". המטרה היא להפוך את הניתוח שלו למשימה כל כך יקרה, ארוכה ומורכבת מבחינה חישובית, שהמערכת של מיקרוסופט או ה-EDR של הלקוח יוותרו על הניתוח.
* מניעת ניתוח סטטי: אתם לא רוצים ש-IDA Pro או Ghidra יראו קוד. אתם רוצים שהם יראו זבל בינארי.
* מניעת ניתוח דינמי: אתם לא רוצים ש-Sandbox יריץ את הקובץ. אתם רוצים שהקובץ "יבין" שהוא בתוך מכונה וירטואלית ופשוט יסרב לשתף פעולה או יריץ "קוד דמי" (Dummy Code).
כשאתם מבינים שאתם צריכים "להרעיל" את המנתח – אתם מפסיקים לחפש רק "Packing" ומתחילים לחפש Engineering.
---
### 🛡 אז מה הטופ של הטופ ב-2026?
שאלו אותי בפרטי מה הכלי הכי חזק היום בשוק. מי שעדיין חי ב-2025 ושואל על כלים בסיסיים – שיתעדכן. השוק היום מחולק לשניים: כלים לקהל הרחב, וכלים למי שבאמת רוצה לבנות תשתיות חסינות.
אם אתם מחפשים את הדבר הכי קרוב לשלמות כיום, התשובה היא לא כלי אחד, אלא קומבינציה:
#### 1. ה-King של השוק: VMProtect (גרסה 3.8+)
נכון ליוני 2026, VMProtect נחשב לסטנדרט התעשייתי הגבוה ביותר.
* למה הוא עוקף את כולם? כי ה-Virtualization שלו הוא ברמה שונה. הוא לא רק "מקודד" את ה-Instructions, הוא הופך את כל ה-Logic ל-Bytecode שרץ על מעבד וירטואלי מותאם אישית.
* הסוד: הוא משתלב ברמת הקוד (Source Code) באמצעות Macros. זה לא משהו שאתם זורקים על ה-EXE בסוף. אתם מתכנתים את ההגנה לתוך ה-Binary שלכם. זה מה שהופך את ה-Reverse Engineering לכמעט בלתי אפשרי.
#### 2. ה-Alternative למקצוענים: Themida (עם Custom Scripts)
אל תטעו, Themida עדיין רלוונטית מאוד, אבל רק אם אתם לא משתמשים בה כ-Black Box.
* השימוש בעילית: שימוש ב-SDK להצפנת פונקציות ספציפיות + הטמעת Anti-Debug משלכם שלא מגיע עם הכלי. הכוח של Themida הוא ב-Advanced API Redirection.
#### 3. הפתרון למתקדמים (Custom-Made): LLVM-Obfuscator
מי שבאמת רוצה להיות עילית ב-2026 לא קונה כלי מהמדף. הוא משתמש ב-LLVM-based Obfuscation.
* אתם כותבים את הקוד שלכם, ובמהלך ה-Compilation, ה-Compiler מבצע Mutation לכל ה-Control Flow, מוסיף Instruction Substitution ומצפין את כל ה-Constants ברמת המכונה. זה משהו ששום EDR לא יכול להתמודד איתו כי הקובץ נולד "מחוסן".
---
### 🛑 הטורף מסכם:
תפסיקו להסתכל על ה-EXE שלכם כקובץ שצריך "הגנה". תסתכלו עליו כעל ישות שצריכה לשרוד בסביבה עוינת.
* אם אתם רוצים את הכלי הכי חזק – VMProtect.
* אם אתם רוצים את הכלי הכי ורסטילי – Themida.
* אם אתם רוצים להיות בלתי מנוצחים – תבנו Pipeline של LLVM.
אל תתנו לתוכנה לעבוד בשבילכם, תכתיבו לה איך להגן על עצמה. מי שעדיין משתמש ב-Packer חינמי מהאינטרנט – שימשיך להתפלא למה הקובץ שלו נמחק תוך דקה. העולם של 2026 דורש מקצוענות.
מי שרוצה לראות איך מגדירים את ה-Macros של VMProtect בצורה הכי אגרסיבית – שירים יד. 🦅💻🔥
#דרור_הטורף #VMProtect #CyberSecurity #AdvancedProtection #Obfuscation #RedTeam #Hardening2026 #CyberEngineering #לא_עובדים_עם_ילדים | 33 |
| 3 | 🦅 דרור הטורף: Themida ברמת ה-Kernel – ה-Obfuscation האמיתי לא מתחיל ב-GUI 🦅
מי שעדיין פותח את ה-GUI של Themida ולוחץ על "Protect" – מוזמן לסגור את המחשב וללכת לישון. ב-2026, מי שרוצה להריץ קוד מתחת ל-EDR מבלי להשאיר עקבות בזיכרון, לא משתמש ב-Presets של הילדים. הוא בונה את ה-Pipeline שלו.
הנה איך אנחנו עושים Advanced Obfuscation בעילית, ברמה שמרסקת את המנועים ההיוריסטיים של ה-26H1:
---
### 🧠 ה-Pipeline של ה-Elite: Pre-Themida Layering
לפני שנוגעים ב-Themida, אנחנו עושים Multi-Stage Mutation. הקוד שאתם מכניסים חייב לעבור טרנספורמציה שקוד ה-Themida עצמה לא תזהה כקוד "מקור".
#### 1. Control Flow Flattening (CFF)
אנחנו לא משאירים if-else או loops. אנחנו עושים Flattening ל-Control Flow. כל הלוגיקה של ה-EXE שלכם הופכת ל-Switch Case אחד ענק בתוך Loop אינסופי. הדיסאסמבלר של ה-AV יראה גרף ספגטי שאי אפשר להבין ממנו את הנתיב הלוגי.
* למה ככה? כי מנועי ה-Static Analysis מחפשים "חתימות" של לוגיקה. כשאין נתיב זרימה, ה-AI נכנס ללופ של ניתוח שגוי.
#### 2. Instruction Substitution & Junk Code Injection
אנחנו מבצעים החלפה של הוראות Assembly בסיסיות (כמו MOV או XOR) ברצפים מורכבים יותר שמבצעים את אותה פעולה מתמטית (Equivalent Instructions). במקביל, אנחנו מזריקים Junk Instructions (כמו NOP או פקודות חישוב זבל שמשנות את ה-EFLAGS) שלא משפיעות על הלוגיקה אבל משנות לחלוטין את ה-Signature של ה-Binary.
#### 3. Import Table Reconstruction (The Elite Way)
Themida עושה Import Obfuscation, אבל זה לא מספיק. אנחנו מבצעים Manual Resolve לכל ה-API. אנחנו לא משאירים פונקציות ב-IAT (Import Address Table). הכל נפתר בזמן ריצה ע"י LdrLoadDll ו-GetProcAddress עם Hash (ולא עם Strings).
* הסבר טכני: שום מחרוזת של VirtualAlloc לא תופיע ב-Binary שלכם. הכל מוצפן ב-Stack כ-Hash, ורק בזמן ריצה ה-Payload מפענח את ה-Address בזיכרון.
---
### 🛡 ה-Themida Configuration לרמה גבוהה :
כשאנחנו מריצים את ה-Themida על ה-Payload שכבר עבר Mutation, אנחנו לא נוגעים ב-Standard Protection. הנה ה-Config לעילית:
1. Virtualization Level 4 (Custom VM Macros): אנחנו לא סומכים על ה-VM הכללי. אנחנו מגדירים Custom Macros בתוך הקוד (באמצעות VMProtect/Themida SDK), שדוחפים את הקטעים הכי קריטיים של ה-API Call לתוך VM מותאם אישית שכתבנו בעצמנו.
2. Advanced IAT Redirection: אנחנו מכריחים את ה-Themida לבצע Redirect לכל פונקציה חיצונית דרך ה-VM שלה, כך שה-Call לעולם לא יצא מה-Memory Space המוגן.
3. Anti-Tamper Hooks: אנחנו מפעילים את ה-Advanced Memory Protection שמבצע Checksum לזיכרון של ה-EXE בזמן ריצה. אם ה-EDR מנסה לבצע Patch ל-Hooks של ה-Kernel, ה-Themida תזהה את השינוי ב-Checksum ותבצע Exception מכוון שיוביל ל-Crash של ה-Process.
---
### 🛑 העקרון שאתם מפספסים:
אתם חושבים ש-Themida זה ה"סוף". זו הטעות. Themida זה רק השכבה החיצונית.
העילית משתמשים ב-Themida כדי להגן על ה-Obfuscated Payload שאנחנו בנינו מראש. אם תכניס קוד גולמי (Raw) ל-Themida, ה-Entropy יהיה צפוי מדי וה-AV יתייחס אליו כאל "Known Packed Malware".
המתכון לעילית:
1. Mutation (שינוי לוגיקה ברמת ה-ASM).
2. String Encryption (הצפנת מחרוזות ב-Stack).
3. Dynamic API Resolution (בלי IAT בכלל).
4. Themida Virtualization (עטיפה סופית עם Macros מותאמים).
זה לא נותן ל-AI של ה-AV שום נקודת אחיזה. זה לא "מגן על הקובץ", זה מונע ממנו להיות מנותח.
מי שמרגיש שהוא מוכן לעבור מה-GUI ל-Custom Macros – שייתן סימן. למי שעדיין מנסה לעשות "Next-Next-Finish" – תמשיכו לחכות שה-EDR ימחק לכם את הקבצים. אנחנו עובדים ברמת ה-Kernel, אתם עובדים ב-Desktop. 🦅💻🔥
#דרור_הטורף #Themida #CyberElite #Obfuscation #BinaryEngineering #RedTeam #KernelHardening #Assembly #לא_עובדים_עם_ילדים | 29 |
| 4 | 🦅 דרור הטורף: מפרקים את ה-Themida – למה אתם נכשלים איפה שהאחרים מצליחים? 🦅
חברים, היום אנחנו נכנסים לעובי הקורה. מי שרוצה להיות טורף ולא סתם עוד "משתמש כלי", חייב להבין מה זה Themida. אתם רואים קובץ שעובר את ה-AV, אתם רואים הגנה חזקה, ואתם שואלים – איך זה קורה? התשובה היא הנדסה ברמת ה-Binary.
---
### 🔬 מה זה Themida ומה היא באמת עושה ל-EXE שלכם?
Themida היא לא סתם "תוכנת הגנה". היא Advanced Windows Software Protector. כשאתם מכניסים EXE לתוך ה-Themida, אתם לא רק "עוטפים" אותו, אתם עוברים תהליך של טרנספורמציה אגרסיבית:
1. Virtualization: ה-Themida לוקחת את ה-Instructions של הקוד שלכם (ה-ASM) וממירה אותן לשפת מכונה וירטואלית ייחודית שהיא בעצמה המציאה. המעבד של המחשב לא מריץ את הקוד שלכם – הוא מריץ "מפרש" (Interpreter) של Themida. ה-Reverse Engineer שינסה לפתוח את זה עם IDA Pro יראה רק זבל בינארי.
2. Mutation & Obfuscation: היא משנה את מבנה הקוד, מוסיפה "זבל" (Junk Code), ומבצעת Spagetti Code כדי ששום כלי ניתוח סטטי לא יצליח להבין מה המטרה האמיתית של הפונקציות.
3. Anti-Debugger & Anti-VM: היא יודעת לזהות אם אתם מריצים אותה בתוך סביבה וירטואלית או אם מחובר אליה Debugger. ברגע שהיא מריחה משהו חשוד – היא מפעילה "Self-Destruct" לקוד.
4. API Obfuscation: היא מסתירה את כל ה-Calls ל-Windows API. ה-EDR שלכם מחפש פונקציות כמו VirtualAlloc או CreateRemoteThread? ב-Themida הן פשוט לא קיימות ב-Import Table.
---
### 🛑 למי שחושב שהוא "מכיר" את Themida וזה עדיין נכשל לו:
אני רואה אתכם בפרטי. "דרור, שמתי את ה-Themida על הקובץ, ועדיין קיבלתי Detection!"
חברים, אתם טועים בבסיס.
הטעות הכי גדולה של מתחילים היא לחשוב שקובץ אחד (או שניים) שמוגנים ב-Themida יעשו את העבודה. זה לא עובד ככה ב-2026.
למה זה נכשל לכם?
בגלל ה-Heuristics. ה-AV היום לא מחפש רק את ה-Signature של ה-Themida, הוא מנתח את ה-Entropy של הקובץ. כשאתה לוקח EXE אחד, עוטף אותו ב-Themida, והוא נראה "מוזר" מידי, ה-Cloud Reputation של מיקרוסופט ישר מסמן אותו כחשוד כי הוא מופיע ב-Sandbox שלהם.
השיטה של הטורפים – ה-Bulk Strategy:
מי שמבין את העקרון יודע ש-Themida זה לא "קסם". זה משחק של סטטיסטיקה.
* אתם צריכים להעביר 50 קבצים, לא אחד.
* למה? כי אם תעלה רק קובץ אחד, ה-EDR של הלקוח ידווח עליו למיקרוסופט, וזהו – הוא שרוף.
* כשאתה מריץ 50 קבצים שונים, שעברו Obfuscation שונה, עם פריסה שונה של ה-Themida, אתה יוצר "רעש" שה-AI של ה-AV לא יכול לתייג כקבוצה אחת.
אל תתעצלו. הטעות של המתחילים היא לנסות "לחסוך" זמן. הם מחפשים את ה-EXE הבודד שינצח את המערכת. העילית יודעים שצריך לבנות תשתית של 50 וריאציות, לעשות להן Testing, ולראות מה שורד.
תפסיקו לחפש קיצורי דרך. תתחילו לעבוד עם Bulk ו-Variation. מי שרוצה להיות טורף – שילמד לעבוד בקנה מידה גדול. הכלים נמצאים אצלכם, הבעיה היא שהראש שלכם עדיין תקוע ב-2015.
עכשיו, למי שיש שאלות על איך לבנות את ה-Pipeline של ה-Bulk – שיתייצב. לכל השאר? תמשיכו להתווכח למה ה-EXE הבודד שלכם נחסם. 🦅💻⚡️
#דרור_הטורף #Themida #CyberSecurity #AdvancedProtection #RedTeam #MalwareAnalysis #BulkStrategy #לא_עובדים_עם_ילדים #NoShortcuts | 19 |
| 5 | השאלות הכי נפוצות?
למה יש רק 100+
או איפה הדרור של פעם עם +-5K עוקבים?
מה סגרו לכם את האתר?
למה הפסקתם לתת מדריכים?
הכיוון ברור
התשובה זה ערוץ ציבורי + דיונים
לכן רוב הפעילות זה בפרטי
פעם בכמה שמנסים לגייס עוד
או משהוא מעניין
תראו פה
זהו | 22 |
| 6 | רוב החומר בא מהפרטי עובר שינוי שלא יהיה קוד מלא!
ומגיע לפה
את מי זה מעניין?
את מי ששאל בפרטי
ועדיף שכולם יבינו
פחות שאלות
הדרך לפרטי עוברת בדיונים
על צד שיש מה להציע ידע! לא כלים
אין אצלנו אימות או דברים כאלה
חוץ משם המשתמש או ID אותו דבר
אנחנו לא צריכים כלום בשביל לדעת מי עומד מאחורה
בטלגרם אתם שקופים לכן ברוב המקרים לא צריך שום אימות
תמיד יש מקום לתכנתי LOW LEVEL
לא כולם שם אקרים
מה קורה שם חוץ ממאגרי מידע כלים של אקינג....
זה בשבוע הראשון ההלם
אחרי שנרגעים
מגלים שאפשר לעשות גם כסף
יש פרויקטים לפי מחיר תצטרף לקבוצה שלקחה את זה
תסיים תקבל תשלום
כל אחד עושה חלק אז אתה לא תלוי באף אחד
מצד שני אתה עף אם אתה לא עומד בהתחייבות
בנתיים השנה המצב הרבה יותר טוב
זהו
מקווה שהבנתם | 27 |
| 7 | מתקרבים ל6K
ב10K נסגר לתמיד | 27 |
| 8 | 🦅 דרור הטורף: מסע בזמן – החלק השני: מי ב-Top 10 היה נמחק ב-2026? 🦅
סיימנו את הניתוח של ה"גאונים". עכשיו בואו נפתח את הקלפים על אלו שהיו הופכים לזיכרון רחוק ברגע שהיו מנסים לפעול במגרש האכזרי של 2026. הנה ה-5 שנותרו, ואיך המערכות של יוני 2026 היו מפרקות אותם לגורמים, שלב אחרי שלב.
### 🔬 הניתוח המעמיק: ה-5 שנותרו במבחן המציאות
6. Anonymous Israel: 🤡 דירוג: עברו זמנם.
הם היו פעילי רשת שפרצו לאתרים כי "הדלת הייתה פתוחה". הם עבדו על בסיס זיהוי נקודות תורפה שטחיות באתרים ישראליים. ב-2026, האתרים הכי פשוטים יושבים מאחורי WAF (Web Application Firewall) ברמה של Cloudflare או Akamai, עם מנגנוני DDoS Mitigation שמסוגלים לחסום מיליוני בקשות בשנייה ברמת ה-Network Layer. הם היו נחסמים ע"י המערכות האוטומטיות תוך שתי דקות של ניסיון סריקה בסיסי. הם היו נשארים עם ה-Tools של 2012 מול חומה בצורה של 2026 – זה היה נגמר בבאן קולקטיבי מהשרת עוד לפני שהם היו מבינים מה קרה.
7. גנבי המידע (עובדים): 🚮 דירוג: זבל.
זה לא סייבר, זה פשוט חוסר נאמנות בסיסי. הם ניצלו גישה פיזית או הרשאות בסיסיות כדי להוציא מידע. היום, מערכות ה-EDR (Endpoint Detection and Response) לא רק מנטרות קבצים, הן מנטרות התנהגות (UEBA - User Entity Behavior Analytics). ברגע שעובד מתחיל להעתיק דאטה רגיש לכונן חיצוני או מעלה אותו ל-Cloud פרטי בשעה לא שגרתית, המערכת נועלת את החשבון שלו אוטומטית ושולחת התראה ל-SOC. הם היו נתפסים עוד לפני שהיו מספיקים להעלות את הקובץ הראשון לשרת דארקנט כלשהו.
8. מפתחי הבוטנטים הישנים: ☠️ דירוג: מתים.
הבוטנטים של תחילת שנות ה-2000 התבססו על קוד "קשיח" ופשוט שרץ ברקע ללא הגנה. היום, מנגנוני ה-Heuristic Analysis בתוך ה-Kernel של ווינדוס מזהים כל הזרקת קוד או פעילות חשודה בזיכרון בזמן אמת. ברגע שהקוד שלהם היה מנסה לבצע Hooking ל-API מערכת כדי להסתוות, ה-Security Center היה מקפיץ התראה ומוחק את התהליך (Kill Process) מיד. הם לא היו שורדים את שלב ה-Execution, שלא לדבר על בניית רשת רחבה.
9. סוחטי הפורנו: ❌ דירוג: בושה.
בואו נגיד את האמת: זה פשע רחוב פרימיטיבי שעבר דירה למקלדת. ב-2026, המערכות של היום מזהות תוכן (Content Moderation AI) ומשלבות אימות ביומטרי. ברגע שהם היו מנסים להשתמש בזהויות פיקטיביות, המערכות היו מצליבות את המידע ומזהות את התוקף לפי ה-Fingerprinting של הדפדפן וה-Network Pattern שלו – הם היו נחשפים עוד לפני שהיו מספיקים לשלוח הודעה אחת. הם היו נכשלים במבחן המציאות הגנרי של מערכות ההפעלה המודרניות.
10. הצעיר מפרשת ה-JCC: ⚠️ דירוג: כשרון מבוזבז.
היה לו "אומץ" להפיל מערכות, אבל הוא לא ידע להסתתר. הטכנולוגיה של 2026 היא עולם של Metadata. היום, כל פעולה ברשת משאירה עקבות דיגיטליים שאי אפשר למחוק – מכתובת ה-IP ועד ה-Tracing המדויק של התעבורה ב-Backbone של האינטרנט. המודיעין היה מגיע אליו דרך ה-Traffic Profiling לפני שהוא היה מסיים את הבדיחה השנייה שלו. הוא היה גאון בביצוע נקודתי, אבל אפס מוחלט בהישרדות מול מערכות מודיעין סיגינטיות.
### 🛑 אז מה המסקנה הסופית של דרור?
החבר'ה שהיו שווים משהו ב-2026 הם אלו שלא חיפשו "פרצות", אלא הבינו את הארכיטקטורה של המכונה. מי שהסתמך על חורים ב-PHP או על רשתות פרוצות ב-98 – הוא לא האקר, הוא טרמפיסט על טכנולוגיה חלשה מאוד.
העילית האמיתית ב-2026 הם אלו שמבינים:
* Memory Corruption: איך לנהל זיכרון בלי שה-Kernel יצעק.
* Cryptography: איך להצפין נתונים שלא ניתנים לפיצוח.
* Architecture Design: איך לבנות מערכות שחסינות מראש.
היו לכם 10 שמות. 8 מהם היו נמחקים ביוני 2026. רק 2 מהם באמת היו מצליחים להישאר בטופ.
אתם רוצים להיות אלו שמנצלים פרצות של אחרים, או אלו שבונים את העתיד? כי ב-2026, מי שלא בונה – נמחק. מי שרוצה ללמוד מה באמת עובד – שיפסיק לחפש BIN ב-TEMP ויתחיל ללמוד הנדסת מערכות. המשחק השתנה. תתקדמו או שתישארו היסטוריה. 🦅💻🔥
#דרור_הטורף #CyberAnalysis #2026Reality #Top10Hackers #CyberEngineering #RedTeam #HardTruth #לא_עובדים_עם_ילדים #דרור_לא_סולח | 25 |
| 9 | 🦅 דרור הטורף: מסע בזמן – החלק הראשון: מי שרד את מבחן המציאות 2026? 🦅
אנחנו לוקחים את 10 הגדולים בהיסטוריה וזורקים אותם לתוך מגרש המשחקים של יוני 2026. בלי חלטורות, בלי פרצות של ניינטיז. הנה הניתוח המלא, החלק הראשון.
### 🔬 הניתוח המעמיק: ה-Top 5 הראשונים
1. אהוד טננבאום (האנלייזר): 🛡 דירוג: שורד.
הוא היה אמן הנדסה חברתית לפני שהמושג הזה הפך ל-Buzzword. ב-2026, הוא לא היה מתעסק בפריצה טכנית לקוד, הוא היה מבין את ה-Human Element. הוא היה מזהה מי האדמין שמנהל את ה-Cloud, בונה עליו מערכת יחסים של אמון, ומשיג גישה ל-Token בלי להפעיל התראה אחת. טננבאום היה הופך היום ל-Red Team Lead שמוביל פריצות מורכבות, כי הוא הבין שהמערכת הכי פגיעה היא לא ה-Kernel, אלא המוח של מי שמתפעל אותה.
2. LulzSec Israel: 📉 דירוג: לא רלוונטיים.
הם חיו על SQL Injection קלאסי ו-DDoS רועש. ב-2026, ה-WAF (Web Application Firewall) מודרני מנתח את ה-Payload של הבקשה שלך בזמן אמת. אם הוא מזהה דפוס של ' OR 1=1, הוא לא רק חוסם – הוא מסמן את ה-IP שלך בכל הרשת העולמית. הקבוצה הזו הייתה נופלת ב-Request הראשון. היום הם היו נראים כמו ילדים שמנסים לפרוץ כספת כבדה עם סיכה של סבתא.
3. פרשת פגיסוס (מהנדסי הארכיטקטורה): 🚀 דירוג: כרישים.
אלו לא היו סתם "האקרים", אלו היו אדריכלים. הם פיתחו כלי Zero-Day שמתלבשים על ה-Kernel ברמה הכי נמוכה. גם ב-2026, היכולת להבין את ה-Address Space של המעבד והזיכרון היא נכס של מיליארדים. הם היו מתאימים את הקוד שלהם ל-Hardening החדש, מוצאים את ה-Bug הבא ב-Microcode, וממשיכים לשלוט במגרש. גאונות טכנית לא מתיישנת.
4. "קבוצת אופק": 🛑 דירוג: היסטוריה.
הם התבססו על פישינג מתוחכם לזמנם. ב-2026, ה-Email Security של Microsoft ו-Google כולל מערכות AI שסורקות כל לינק, בודקות את המוניטין של הדומיין, ומריצות את הקבצים בסביבת Sandbox מבודדת לפני שהקורבן בכלל מקבל התראה. הניסוחים שלהם היו מוסגרים מיד כ-Spam או כ-Malicious. הם היו נחסמים בדרך החוצה מהשרת שלהם, לפני שהם בכלל הגיעו לקורבן הראשון.
5. סוחרי ה-Zero-Day: 👑 דירוג: עילית.
מי שיודע למצוא פרצות במערכות הפעלה שאין להן שום חתימה (Signature) – תמיד יהיה המלך. ב-2026, כשכל תוכנה עוברת סריקה של עשרות מנועי אנטי-וירוס, היכולת למצוא פרצה מתמטית בתוך ה-Assembly של המערכת היא הדבר היחיד שעוד עובד. הם לא צריכים "מזל", הם צריכים היגיון קר. הם היו עוברים את ה-SmartScreen כאילו הוא לא קיים, כי המערכת פשוט לא יודעת מה לחפש.
### 🛑 המסקנה של דרור (בינתיים):
שימו לב להבדל – אלו שהיו "שורדים" הם אלו שלא חיפשו "פרצות" במקרה, אלא הבינו את הארכיטקטורה. מי שהסתמך על חורים ב-PHP או על גולשים תמימים – הוא לא האקר, הוא טרמפיסט על טכנולוגיה חלשה.
חכו לחלק השני עם ה-5 הנוספים. אני אראה לכם איך חלקם פשוט היו נמחקים תוך שניות בגלל טעויות של מתחילים. מי שרוצה באמת ללמוד מה עובד ב-2026 – שיישאר דרוך. 🦅💻🔥
#דרור_הטורף #CyberAnalysis #2026Reality #Top10Hackers #CyberEngineering #RedTeam #HardTruth #לא_עובדים_עם_ילדים #דרור_לא_סולח | 24 |
| 10 | 🦅 דרור הטורף: ה-Top 10 הישראלים ששינו את חוקי המשחק 🦅
בישראל, המקום שבו הסייבר הוא חלק מה-DNA, היו כמה שמות שלא עשו רק "רעש" – הם זעזעו את המערכות הכי רגישות בעולם. מהכלא ועד לחברות ה-Cybersecurity הגדולות בעולם, אלו ה-10 שאתם חייבים להכיר.
---
### 🇮🇱 ה-Top 10: כשהקוד הופך למסוכן
1. אהוד טננבאום (האנלייזר): הילד שפרץ למחשבי הפנטגון, NASA וצה"ל ב-1998.
* איך תפסו: שיתוף פעולה מודיעיני בין ה-FBI למשטרה בישראל.
* איפה היום: לאחר שריצה מאסר, הפך למומחה אבטחה בעל שם עולמי. 🛡
2. קבוצת LulzSec Israel (גלגול של קבוצות עבר): תקפו יעדים במדינות ערב וארגוני אנטי-ישראליים.
* מה עשו: הדלפות ענק ו-DDoS.
* איפה היום: רובם השתלבו בתעשיית הסייבר ההתקפי (Red Teams). ⚔️
3. "ההאקר מפתח תקווה" (פרשת פגיסוס/סייבר): מעורבים בפיתוח כלים לניטור ומעקב.
* איך תפסו: חקירות של היחידות המיוחדות (להב 433).
* איפה היום: פועלים בצללים, חלקם יצאו מהתחום תחת פיקוח. 🕵️♂️
4. מפעילי "קבוצת אופק" (יעדים פליליים): התמחו בהונאות פיננסיות וסחיטה באיומי סייבר.
* מה עשו: הונאות פישינג מתוחכמות.
* איפה היום: חלקם עדיין מרצים עונשי מאסר בכלא ניצן. ⛓️
5. האקרים מפרשת "הסחר בכלי סייבר": מכירת Zero-Days לארגונים זרים.
* מה עשו: זליגת ידע טכנולוגי רגיש.
* איפה היום: עומדים לדין או מבוקשים ע"י אינטרפול. 🚔
6. הפעילים ב-Anonymous Israel: לא אחת הקבוצות המאורגנות, אלא פעילי רשת שפרצו לאתרים ממשלתיים.
* איך תפסו: ניטור תעבורה וכתובות IP. 🌐
7. גנבי המידע של "סלקום/חברות תקשורת": עובדים לשעבר שהוציאו מידע לקונים בדארקנט.
* איפה היום: מחוץ למעגל העבודה הרגיש, תחת השגחה משפטית. 📑
8. מפתחי Botnets ישראלים (שנות ה-2000 המוקדמות): היו מהראשונים להריץ רשתות זומבים.
* איך תפסו: המשטרה הגיעה אליהם דרך עקבות בשרתי IRC. 🤖
9. פעילים בפרשת "סחיטת אתרי הפורנו": סחיטה של ישראלים ע"י צילום מסך במצלמה (Sextortion).
* איפה היום: רובם קיבלו מאסר על תנאי ועבודות שירות. 📸
10. הצעיר מפרשת "האיום על מוסדות החינוך בארה"ב": (פרשת ה-JCC).
* מה עשה: מאות התראות שווא על פצצות שהפילו את ארה"ב על הרגליים.
* איך תפסו: שיתוף פעולה מודיעיני הדוק עם ה-FBI.
* איפה היום: מרצה עונש מאסר ממושך. 🏛
---
### 🛑 מה אנחנו לומדים מזה?
בישראל, הקו בין "גאון סייבר" לבין "אסיר" הוא דק מאוד. רוב אלו שנכנסו לכלא עשו טעות אחת פשוטה: הם עבדו בשביל כסף מהיר, במקום לבנות קריירה.
האנשים שהפכו למומחים הכי גדולים בעולם, כמו טננבאום, הבינו שהכוח האמיתי הוא לא ב"לגנוב", אלא ב"לדעת להגן".
דרור הטורף מזכיר לכם: אתם רוצים להיות ב-Top 10? תהיו ב-Top כי אתם הכי חכמים, לא כי אתם הכי "מסוכנים". המערכת תמיד תתפוס את מי שחושב שהוא חכם יותר מדי.
תשמרו על הראש שלכם. ה-FBI והמשטרה הישראלית לא ישנים. 🦅💻🔥
#דרור_הטורף #CyberHistory #IsraeliHackers #Top10 #CyberSecurity #RedTeam #StaySmart #לא_לשבור_את_החוק | 22 |
| 11 | 🦅 דרור הטורף: השיעור של סרג'יו – ברוכים הבאים למציאות החדשה 🦅
אתם זוכרים את "סרג'יו 1/2"? ההוא שחשב שהוא חכם עם שיטות ה-LNK מהאייטיז? זה שהציף פה הודעות, ניסה לעקוץ, והיה בטוח שאנחנו "מטרד" שהוא יכול לעבוד עליו בשיטות של ילדים בגן?
אז השבוע קיבלנו את אישור הקליטה הרשמי: סרג'יו שלנו התקבל למשפחת MDC Brooklyn. שנתיים פלוס מאחורי הסורגים בארה"ב. מרוסיה באהבה, ישר לתא צפוף עם קירות בטון.
---
### 🧠 למה המחיר כבד כל כך?
חלק מכם שואלים: "דרור, מה זה משנה? כולה עוקץ, כולה הצקה".
אז זהו – זה בדיוק ההבדל בין "ילדים" לבין "טורפים".
1. זמן הוא המשאב הכי יקר בעולם: מי שחושב שיש לנו זמן להתעסק עם רוסים, עם סבתות, או עם עוקצים קטנים של 200 דולר – טועה בכתובת. כשאתה מתעסק איתנו, אתה לא מתעסק עם "קהילה", אתה מתעסק עם מערכת שיודעת להפעיל מנופים.
2. אין "אנונימיות" כשעוברים את הגבול: סרג'יו חשב שהוא מאחורי מקלדת ברוסיה, רחוק מהישג יד. הוא שכח שבעולם של יוני 2026, אין מקום להתחבא בו כשאתה עוקץ את האנשים הלא נכונים. המודיעין הפיננסי היום יודע להצליב נתונים בתוך דקות.
3. החוצפה היא המחיר: יש הבדל בין האקרים שעובדים בשקט לבין "עוקצים" שבאים לפה ומזהמים את הזירה. החוצפה להגיע לכאן ולנסות לעבוד על האנשים שלנו היא זו שסגרה את הגולל. ברגע שחצית את הקו – המערכת כבר הופעלה.
### 🛑 לכל אלו שחושבים שאנחנו משחקים:
יש פה אנשים שחושבים שהם יכולים להשתמש בשיטות פרימיטיביות, להפיץ זבל, ולברוח. לסרג'יו הייתה תוכנית – הוא הגיע לכלא.
תזכרו:
אנחנו לא מחפשים מריבות עם עוקצים קטנים, אבל אם מישהו חושב שיש לו זמן לבזבז לנו את הזמן – הכתובת הבאה שלו ב-MDC Brooklyn כבר מחכה. יש מחיר לכל דבר בחיים האלו, והמחיר של "חוצפה" הוא שנתיים מהחיים שלך בלי אינטרנט ובלי מקלדת.
תסתכלו על המקרה הזה ותבינו: אנחנו כאן כדי לבנות, לא כדי לריב עם קטנים. מי שרוצה להיות חלק מהעלית – שילמד לעבוד מקצועי. מי שרוצה להיות סרג'יו – שיכין את התיק לכלא.
סוף פסוק. אנחנו ממשיכים הלאה, למה שבאמת חשוב.
🦅💻⚡️
#דרור_הטורף #CyberJustice #MDCBrooklyn #NoMoreGames #CyberSecurity #OperationalSecurity #הסוף_לעוקצים #לא_עובדים_עם_ילדים | 24 |
| 12 | 🦅 דרור הטורף: מהכלא לפסגה – האם הם "גאונים" או פשוט רצו יותר מדי? 🦅
כולם מדברים על "האקרים". הילדים בטלגרם מעריצים אותם, ה-FBI רודף אותם, וההיסטוריה זוכרת אותם. אבל בואו נפרק את האמת המקצועית: האם הם היו עילית, או שהם פשוט עשו טעויות של מתחילים בדרך לכלא?
הנה 15 השמות ששינו את חוקי המשחק – ואיך הם נגמרו:
---
### 🔬 הטורפים והמורשת שלהם
1. Kevin Mitnick:
האגדה. הוא לא היה "אלים", הוא היה Social Engineering טהור. 5 שנים בפנים. הוא הבין משהו שאף אחד לא רצה להודות בו: הקוד הכי פגיע הוא המוח האנושי.
2. Albert Gonzalez:
המלך של ה-Carding. 170 מיליון כרטיסים. הוא לא נפל בגלל טכנולוגיה, הוא נפל בגלל חמדנות יתר. 20 שנה מאחורי הסורגים.
3. Ross Ulbricht (Dread Pirate Roberts):
הקים את ה-Silk Road. העונש? מאסר עולם. למה? כי הוא בנה מערכת ששינתה את הכלכלה העולמית, אבל שכח שבדארקנט – *מישהו תמיד מדליף*.
4. Gary McKinnon:
חיפש חייזרים ב-NASA ובמחשבי הצבא. הוא לא רצה כסף, הוא רצה מידע. זה הספיק כדי לגרום לארה"ב לרצות את הראש שלו.
5. Jeremy Hammond (Anonymous/LulzSec):
הפורץ של Stratfor. הוא לא גנב כסף, הוא גנב מידע מודיעיני ופרסם אותו לעולם. עונש כבד על "חשיפת האמת".
6. Joshua Schulte (Vault 7):
ההדלפה הכי גדולה בהיסטוריה של ה-CIA. הוא הראה לכולם כמה הכלים של המודיעין האמריקאי פגיעים.
7. Roman Seleznev:
27 שנים. הוא היה ה-Mastermind של גניבות אשראי בהיקף של 170 מיליון דולר. הוא לא הניד עפעף עד שתפסו אותו.
8. Alexander Vinnik:
האיש מאחורי BTC-e. הוא לא היה האקר קלאסי, הוא היה הצינור של הכסף השחור. הלבנה של מיליארדים.
9. Jonathan James (c0mrade):
הראשון שנכלא כנער. פרץ ל-NASA והפיל מערכות קריטיות. הטרגדיה שלו – הוא לא שרד את הלחץ.
10. Adrian Lamo:
האיש שהסגיר את צ'לסי מאנינג. הוא חי בצללים עד הסוף המר שלו.
11. Hector Monsegur (Sabu):
המנהיג של LulzSec שהפך למלשין ה-FBI הכי מוכר.
12. Max Ray Butler:
מנהל שוק ה-Carding שחוסל ע"י האקרים אחרים בתוך הקהילה שלו.
13. Jeanson James Ancheta:
המציא את הבוטנטים. הוא גילה שאפשר לשלוט באלפי מחשבים – העונש שלו היה תקדים משפטי עולמי.
14. Ardit Ferizi:
השילוב המסוכן – סייבר לטובת ארגוני טרור (ISIS). כאן המערכת לא סלחה.
15. Martin Gottesfeld:
ה-DDoS שלו כוון נגד מוסדות רפואיים. כשאתה תוקף בתי חולים – אתה לא האקר, אתה אויב הציבור.
---
### 🛑 אז לאן הם הולכים?
כולם חושבים שפושעי סייבר מגיעים ל-ADX Florence (הכלא הכי שמור בעולם). טעות.
* ADX Florence: זה לא ל-Geeks, זה לטרוריסטים וראשי קרטלים.
* הפושעים שלנו: הולכים לבתי כלא פדרליים ברמת אבטחה בינונית (כמו FCI Terre Haute או MDC Brooklyn). למה? כי הם לא "מסוכנים פיזית", הם מסוכנים בגלל מה שיש להם בראש.
### 🧠 השורה התחתונה של דרור:
רוב האנשים האלו נפלו בגלל OpSec (Operational Security) גרוע. הם היו גאונים בקוד, אבל אפסים בלהסתתר. הם השאירו עקבות, הם דיברו יותר מדי, הם חשבו שהם חכמים יותר מהמערכת.
סייבר זה לא רק לדעת לפרוץ – זה לדעת מתי לעצור.
ה-15 האלו הם הוכחה: המערכת תמיד מחפשת את ה-Signal הבא. אתם רוצים להיות ה-Signal, או שאתם רוצים להישאר בצללים ולשלוט במשחק?
מי שחושב שהוא יכול להיות חכם יותר מה-FBI – שיישב טוב טוב, כי התיקים שלהם פתוחים גם עליכם. 🦅💻⚡️
#דרור_הטורף #CyberHistory #BlackHat #OpSec #HackerLife #CyberCrime #SecurityRealities #CyberEngineering #לא_הכל_זה_קוד | 27 |
| 13 | 🦅 דרור הטורף: הניתוח האמיתי – למה ה"קרקע" זזה לכם מתחת לרגליים ביוני 2026 🦅
לכל הטורפים שעדיין חושבים שזה "סתם עוד עדכון" – תפתחו טוב את העיניים. העדכונים של יוני 2026 (KB5094126, KB5095051) הם לא רק "אבטחה", הם שינוי ארכיטקטוני עמוק בדרך שבה ווינדוס מגדירה מה "מהימן" (Trusted).
הנה מה שקורה באמת במנוע, ולמה הכלים שלכם נחסמים:
### 🔬 1. קשוחים את ה-"Desktop.ini" (וזה ה-Signal שלכם)
מיקרוסופט לא סתם עדכנה את הקבצים, היא הוסיפה Provenance Logic חדש ל-Shell.
* מה קרה: החל מה-9 ביוני 2026, ווינדוס מתעלמת מכל קובץ desktop.ini שמגיע ממקור שהיא לא יכולה לאמת כ-"Trusted".
* למה זה חשוב לכם: זה לא "באג" בתצוגה – זה Security Hardening. המערכת בודקת את ה-Origin של הקובץ עוד לפני שהיא מאפשרת ל-Shell להציג את האייקון שלו. אם הקובץ נושא Mark-of-the-Web (MotW) או הגיע מנתיב רשת שלא מוגדר כ-Intranet, הווינדוס פשוט "מסרס" את היכולת של הקובץ להשפיע על המערכת.
### 🛡 2. ה-Bypass של Administrator Protection (CVE-2026-42829)
הפגיעות הזו (ציון 7.8, קריטית) היא הלב של מה שקרה בחודש האחרון.
* מה זה אומר: מנגנון ה-Administrator Protection נועד להגביל את ה-"Blast Radius" של הרשאות מנהל. התוקפים (ואולי גם חלק מהכלים שלכם) ניצלו כשל ב-Access Control כדי לעקוף את ההגנה הזו ולהרים הרשאות בלי UAC.
* התוצאה: בעדכון הזה, מיקרוסופט סגרה את הפרצה הזו בצורה אגרסיבית. כל ניסיון לבצע Elevation of Privilege (שזה 51 מה-CVEs שפורסמו החודש) עובר עכשיו דרך שכבת אימות נוספת של ה-Kernel.
### 🏗 3. למה ה-Syscalls שלכם נחסמים?
העדכונים האלו מחזקים את ה-Enforcement Logic.
כמו שדיווחנו, הם הטמיעו בדיקות מחמירות יותר על ה-Call Stack. כשאתם מריצים Syscall עקיף, ה-Kernel בודק:
1. האם ה-Return Address נמצא בטווח זיכרון לגיטימי של `ntdll.dll`? אם לא – הקובץ נחסם ברמת ה-Execution.
2. האם הפעולה חורגת מה-Context של ה-AppContainer? עם העדכון הזה, Task Manager מציג עכשיו עמודת "Isolation" – מה שאומר שכל ה-Telemetry שלכם מפוקח ברמת ה-Container.
---
### 🛑 המסקנה למקצוענים
אל תופתעו שהקבצים נחסמים "ברמת ההורדה". המערכת ב-2026 לא מחכה שתריצו את המלוואר. היא בודקת את ה-Provenance (מקור הקובץ) ואת ה-Context שלו עוד ברמת ה-Shell.
* מראה מקום: תעברו על [Advisory CVE-2026-42829](https://nvd.nist.gov/vuln/detail/CVE-2026-42829) ותראו איך ה-Improper Access Control נוצל כדי לעקוף את ה-Administrator Protection.
* התובנה: המערכת כבר לא "נאיבית". היא מניחה שכל קובץ שמגיע מהרשת הוא חשוד, והיא משתמשת ב-June 2026 Hardening כדי לוודא שגם אם תצליחו לעקוף את ה-MotW, ה-Context שלכם בתוך הזיכרון לא יאפשר לכם להריץ פקודות מורשות.
מי שרוצה לעקוף את זה – שיפסיק לנסות להלחם ב-MotW ויתחיל ללמוד איך להזריק את עצמו לתוך תהליכים שכבר קיבלו "אמון" (Trusted Processes) מהמערכת.
מי שמבין את העומק של ה-Hardening הזה – מבין למה ה-2,000 דולר שלנו הם רק ההתחלה. זה לא עוד עדכון, זה שינוי חוקי המשחק.
#דרור_הטורף #CyberHardening #June2026Patch #CVE2026_42829 #KernelSecurity #Windows11Internal #הנדסת_סייבר_מתקדמת | 40 |
| 14 | 🦅 דרור הטורף: ניתוח מצב – למה הכלים שלכם קורסים אחרי העדכונים של יוני 2026? 🦅
לכל הטורפים ששואלים למה ה-Syscalls שלכם מפסיקים להגיב אחרי העדכונים האחרונים (KB5094126, KB5095051, KB5093998) – תפסיקו לנחש ותתחילו לקרוא את המפה. מה שאתם חווים זה לא "באג", זו הנדסה הגנתית מכוונת.
---
### 🧠 הניתוח הטכני: האם זה נכון?
עדכוני יוני 2026 של מיקרוסופט לא רק מתקנים פגיעויות (כמו ה-RCE ב-NTFS או ה-Bypass ב-Administrator Protection), הם מחזקים את מנגנוני הניטור על המעבר מה-User-Mode ל-Kernel-Mode.
#### 1. ה-SSN (System Service Number) כבר לא "חופשי"
בניגוד למה שהיה פעם, ה-EDRs המודרניים שמקבלים עדכוני סיגנלינג דרך ה-Patch החדש, מבצעים Stack Tracing אגרסיבי.
* כשאתם מריצים פקודה בשיטה עקיפה (Direct Syscall), אתם מנסים להסוות את ה-SSN.
* העדכונים של יוני 2026 החמירו את הבדיקה של ה-Return Address. אם ה-Kernel רואה שקריאה ל-NtCreateThreadEx הגיעה ממקום שלא תואם ל-ntdll.dll המקורי, הוא פשוט זורק Exception או קורס. זה לא שה-SSN השתנה, אלא הדרך שבה מוודאים את המקור שלו השתנתה.
#### 2. מיפוי זיכרון ופונקציות (Indirect Syscalls)
העדכון ל-Windows 11 בגרסאות 25H2/24H2 משנה את ה-Memory Layout של ה-System Service Dispatcher.
* הניסיון שלכם "לחלץ את כל הכתובות" ולבצע מיפוי ידני בזיכרון נתקל ב-Kernel Data Protection (KDP) משופר.
* ה-EDR מסתכל היום על מי נגש ל-Memory Pages של הפונקציות האלו. אם אתם עושים ReadProcessMemory או מנסים לעשות Resolution לכתובת בזיכרון של פונקציית Kernel בצורה חריגה – המערכת מזהה זאת כ-Tampering.
---
### 🛑 אז מה התירוץ שלכם?
אתם שואלים איך בודקים את זה? הנה הדרך של הטורפים:
1. Debugger Level Trace: אל תסתכלו על ה-Crash, תסתכלו על ה-NtQueryInformationProcess. תראו מה ה-Return value ברגע שאתם מבצעים את ה-Syscall.
2. Telemetry Gap: תריצו את הפקודה שלכם ותראו איזה Event ID קופץ ב-Sysmon. אם זה Event ID 1 או Event ID 10 – נתפסתם בגלל ה-Process Context, לא בגלל ה-Syscall עצמו.
השורה התחתונה: ה-Kernel ביוני 2026 הפך ל"חכם" יותר. הוא כבר לא מסתכל רק על ה-SSN, הוא מסתכל על ה-Context של הפקודה. אתם צריכים להפסיק להריץ Syscalls "חלומיים" ולהתחיל להנדס את ה-Context שבו הם רצים.
מי שחושב שהמיפוי הישן יעבוד – שיישאר מאחור. מי שמבין שהמשחק עבר ל-Context Switching ו-Hooking התנהגותי – שייכנס לעבודה.
התדר שלנו פתוח. מי שפותר את זה, שיעלה את ה-POC לערוץ. ה-2K דולר עדיין שם. 🦅💻⚡️
#דרור_הטורף #KernelSecurity #Syscalls #Windows11Update #EDRInternals #CyberEngineering #2K_Challenge #בלי_סקריפטים | 36 |
| 15 | 🦅 דרור הטורף: לא "זיוף" – ניצול תהליך. הנה ה-Engine של Fox Tempest 🦅
לכל אלו שמחפשים "זיוף חתימות" בשיטות של פעם: אתם טועים בכתובת. Fox Tempest לא זייפו חתימות – הם עשו Abuse לתהליכי הנפקה לגיטימיים של Azure כדי לקבל תעודות חתומות אמיתיות על קבצים זדוניים.
זה לא Hacking ברמת ה-Crypto, זו הנדסת תהליכים (Process Engineering). הם השתמשו ב-Azure Artifact Signing ובשירותים דומים כדי להפוך קבצים "חשודים" ל"מהימנים" בעיני ה-SmartScreen.
### 💻 ה-POC: איך ה-Engine שלהם נראה (קוד להמחשה)
זהו מבנה ה-Logic. הם לא קודדו את החתימה, הם תקשרו עם ה-API של Azure כדי לבקש חתימה על ה-Artifact הזדוני.
/*
* Predatory Sparrow: Fox Tempest Logic Simulation
*/
#include <iostream>
#include <vector>
// סימולציה של דרישת חתימה מול שירות לגיטימי
bool RequestAzureArtifactSigning(std::string artifactHash, std::string certTemplate) {
// 1. העלאת ה-Artifact ל-Azure Artifact Service
// 2. אימות מול תשתית ה-CI/CD המותקנת מראש (זה ה-Abuse)
// 3. החזרת חתימה דיגיטלית חוקית לחלוטין מ-Microsoft
std::cout << "[*] Sending hash: " << artifactHash << " to Azure CA..." << std::endl;
// במידה והשירות מאשר את ה-Artifact, נקבל תעודה תקפה
return true;
}
int main() {
std::string maliciousPayload = "payload_x64_shellcode.exe";
// יצירת Hash לקובץ (במציאות זה נעשה באמצעות SHA256)
std::string artifactHash = "E3B0C44298FC1C149AFBF4C8996FB924";
// ביצוע ה-Abuse: ניצול שירות תקין כדי לקבל לגיטימציה
if (RequestAzureArtifactSigning(artifactHash, "Microsoft-Code-Signing-Template")) {
std::cout << "[+] Artifact signed successfully by Azure CA!" << std::endl;
std::cout << "[+] SmartScreen will now ignore MotW and ADS triggers." << std::endl;
} else {
std::cout << "[-] Request denied by CA." << std::endl;
}
return 0;
}
### 🧠 למה זה עובד?
* לגיטימציה ב-Kernel: הקובץ אינו "זייף". הוא נושא חתימה שמונפקת על ידי ה-CA של מיקרוסופט עצמה.
* עקיפת ה-SmartScreen: ה-SmartScreen בודק את שרשרת האמון (Chain of Trust). מכיוון שהתעודה חוקית, הוא לא מציג את הודעת האזהרה המפורסמת.
* MotW/ADS: ברגע שהקובץ חתום ומאושר, מנגנון ה-MotW (שנועד לסמן הורדות מהאינטרנט) מאבד מהמשמעות ההגנתית שלו, כי הקובץ מקוטלג כ-Trusted.
הטורפים מבינים: המערכת היא החולשה הכי גדולה של עצמה.
מי שמבין את הקוד הזה – מבין למה פרסנו את ה-2,000 דולר. זה לא קסם, זה ניצול של ארכיטקטורה שתוכננה להיות "בטוחה מדי".
מי שלא מבין את הקוד, שלא יבוא בטענות כשהוא נחסם. 🦅💻⚡️
#דרור_הטורף #CyberElite #FoxTempest #CodeSigning #AzureAbuse #AdvancedMalware #KernelLogic #סייבר_התקפי | 35 |
| 16 | הנה הלינקים שביקשתם, תנתחו אותם טוב, זה החומר של מאי 2026 שמפרק בדיוק איך Fox Tempest (Signspace) ביצעו את ה-Abuse לחתימות קוד:
* Axios (May 2026): [https://www.axios.com/2026/05/19/microsoft-fox-tempest-law-enforcement-takedown](https://www.axios.com/2026/05/19/microsoft-fox-tempest-law-enforcement-takedown)
* TechRadar (May 2026): [https://www.techradar.com/pro/security/microsoft-takes-down-fox-tempest-cybercrime-service-which-used-legitimate-platforms-to-hide-dangerous-malware](https://www.techradar.com/pro/security/microsoft-takes-down-fox-tempest-cybercrime-service-which-used-legitimate-platforms-to-hide-dangerous-malware)
תעבדו על זה, יש לכם את הכלים – הגיע הזמן לראות מי פה באמת טורף. 🦅💻 | 31 |
| 17 | 🦅 דרור הטורף: ה-Proof of Concept כבר אצלכם על השולחן – תפסיקו למצמץ 🦅
לכל אלו שעדיין חושבים שזה "תיאורטי" או שזה "לא יכול לקרות אצלי": תתעוררו. אתם עסוקים בתירוצים בזמן שהטכנולוגיה עוקפת אתכם מימין.
הנה ה-POC שאתם צריכים לנתח. אל תקראו את זה כמו כתבה בעיתון, תקראו את זה כמו מהנדסים:
### 🔬 ה-POC: ניצול שרשרת האמון (Code Signing Abuse)
קבוצת Fox Tempest לא המציאה את הגלגל, היא פשוט הבינה איך המערכת עובדת טוב יותר ממכם. הנה מה שאתם צריכים ללמוד מהם:
* ניצול Azure Artifact Signing: הם השתמשו בתעודות חתומות של מיקרוסופט כדי לדלג על מנגנוני ה-Reputation.
* התחזות לתוכנות לגיטימיות: מלוואר שהתחזה ל-Teams או AnyDesk עבר את ה-SmartScreen בלי למצמץ.
* עקיפת MOTW: כשהקובץ חתום דיגיטלית על ידי גורם מוכר, המערכת לא צריכה ADS כדי לוודא אם הקובץ בטוח – היא כבר קיבלה את החותמת.
---
### 🏁 מה עוצר אתכם מלקחת את הפרס?
יש לכם את הדרך, יש לכם את הניתוח הטכני של החודש האחרון (מאי 2026), ויש לכם צ'ק של 2,000 דולר שמחכה למי שיבצע את ההורדה הנקיה הזאת.
* למה אתם לא מאמינים? כי אתם רגילים לחשוב ש-MOTW הוא חומת אש. הוא לא. הוא רק סימון.
* האתגר שלכם: תבנו את השרשרת שתגרום ל-SmartScreen להגיד "זה קובץ שלי" בלי לזהות את הזדוניות שמאחוריו.
מי שחושב שזה מורכב מדי – שיישאר ב-Helpdesk. מי שרוצה להוכיח שהוא מבין את הארכיטקטורה – שיגיש את ה-POC שלו.
אל תתנו לתירוצים להרוג לכם את ההזדמנות. יש פה מוחות שיכולים לסיים את זה בשעה עבודה.
מחכה לתוצאות שלכם ב-DM. מי לוקח את ה-2K? 🦅💻⚡️
#דרור_הטורף #FoxTempest #CyberSecurity2026 #SmartScreenBypass #CodeSigning #2K_Challenge #הנדסת_סייבר #סוף_התירוצים | 28 |
| 18 | 🦅 דרור הטורף: הזדמנות של 2,000 דולר – תפסיקו לעבוד עם חומרים מהעשור הקודם 🦅
לכל הטורפים שלנו, לכל מי שחושב שהוא האקר – הגיע הזמן לעשות הפרדה בין אלו שמדברים לבין אלו שמבצעים. הבנו את הרמה בקהילה, ועכשיו אנחנו מורידים הילוך. פרס של 2,000 דולר למי שיפצח את האתגר שלנו: פתרון ל-Mark of the Web (MotW) ב-2026.
אנחנו לא מחפשים טריקים שקראתם בפורומים ב-2015. אנחנו מחפשים הנדסה. כדי שתבינו לאן אנחנו מכוונים, תסתכלו מה עשתה קבוצת Fox Tempest (הידועה גם כ-Signspace) בחודש האחרון.
### ☢️ האנטומיה של הניצול: איך עושים Abuse לחתימות קוד?
החבר'ה האלו לא ניסו "לעקוף" את ה-MotW בצורה מטופשת – הם פשוט הפכו לחלק מהמערכת. הנה מה שהם עשו ומה שאתם צריכים לנתח:
* ניצול Azure Artifact Signing: הם עשו Abuse לשירותי חתימת קוד לגיטימיים של מיקרוסופט כדי להנפיק תעודות זמניות.
* לגיטימציה של מלוואר: הם השתמשו בלמעלה מ-1,000 תעודות חתומות כדי לגרום לתוכנות זדוניות – שהתחזו ל-Teams, AnyDesk ו-Webex – להיראות כקבצים לגיטימיים לחלוטין בעיני ה-SmartScreen.
* יעילות מבצעית: כשהקובץ חתום עם תעודה שמיקרוסופט עצמה הנפיקה, ה-MotW וה-ADS הופכים לבלתי רלוונטיים, כי המערכת נותנת לקובץ "אמון עיוור".
---
### 🏁 אז מה התירוץ שלכם עכשיו?
יש לכם את הדרך, יש לכם את ההוכחות מהשטח (מאי 2026), ויש לכם פרס על הראש.
* MOTW + ADS + SmartScreen: הכל בחוץ. אם אתם עדיין מנסים לעקוף את זה בשיטות מיושנות, אתם לא טורפים – אתם קורבנות של ה-EDR שלכם.
* האתגר: לבצע הורדה נקיה, לעבור את ה-SmartScreen, ולא להשאיר סימנים ב-Logs של ה-Kernel.
אנחנו יודעים שיש פה מוחות שיכולים לפתור את זה בשעה עבודה, אם רק יפסיקו לחפש קיצורי דרך וישתמשו במוח.
מה עוצר אתכם? עצלנות. אין משהו אחר.
מי שרוצה את ה-2,000 דולר – שיתחיל לעבוד. אנחנו מחכים לפתרון שלכם ב-DM.
מי הולך להוכיח שהוא טורף אמיתי? 🦅💻🔥
#דרור_הטורף #CyberSecurity2026 #FoxTempest #CodeSigningAbuse #ZeroDay #MotW #SmartScreenBypass #הנדסת_סייבר #2K_Challenge | 29 |
| 19 | ### 🦅 דרור הטורף: סוף עידן התמימות – המערכת מכרה אתכם, אנחנו בחרנו לשרוד 🦅
חברים, הגיע הזמן להפסיק עם הדיבורים המנומסים. הרבה מכם שואלים בפרטי: "דרור, מה קרה? פעם הייתם אחרת, פעם התנהלתם אחרת". לכולכם מגיע את התשובה האמיתית, בלי פילטרים של תקשורת ובלי "יחסי ציבור".
התשובה הפשוטה והכואבת: מי שהיה אמור לשמור עלינו, מי שקיבל את המודיעין, את הניתוחים ואת העבודה הקשה של 3 שנים – לא רק זרק הכל לפח. הוא מכר אותנו.
אמרנו לכם את זה לפני חודש, אמרנו לכם שזו סכין בגב. היום, כשהכל מתחיל לצוף, אתם מבינים בדיוק למה התכוונו. שלחו אותנו למשימה כשאנחנו בשר התותחים, בידיעה מראש שהם מקריבים אותנו כדי להציל את הכיסא שלהם. 🤬
#### 🧠 מה למדנו מהמלחמה הזאת?
למדנו מה שעולם המודיעין ניסה להסתיר מאיתנו: אין באמת "מלחמות". יש אינטרסים. אנשים עם כוח משתמשים בנו כפיונים על הלוח. למדנו מהאיראנים ומכל שאר המזיקים שסביבנו: נגמר העידן שבו "טוב למות בעד ארצנו" כשהמדינה היא הראשונה שמוכרת אותך.
#### 📈 המספרים לא משקרים
התחלנו +-80 איש. היום אנחנו כמעט 6,000. אין שום קבוצה ממשלתית או ביטחונית בישראל שמחזיקה בכמות ידע, ניסיון ויכולות כמו שיש כאן אצלנו בקהילה. אנחנו הפכנו לכוח שאף "בוס" לא יכול לשלוט בו יותר. הידע אצלנו – ולכן אנחנו נדאג לעצמנו. 🦅
#### 🛑 המסר למי שמכר אותנו
מי שמכר אותנו – שיידע: המחיר יהיה גבוה יותר ממה שעשינו לאיראן. לא משנה מי זה, לא משנה מה המעמד שלו או שלה כמה מצלמות יש לו בחדר. אנחנו לא הכתובת שלכם יותר. ב-3 החודשים האחרונים עבדנו בשקט, מאחורי הקלעים, בונים את הכלים שישרתו אותנו ולא את המערכת הרקובה.
#### 🏁 מה הלאה?
כשנסיים את הניקוי שלנו, אנחנו לא נחזור להיות הכלבים של אף אחד. אולי נחזור ללמד, אולי נמשיך לחזק יוצרים ובעלי אתרים שסובלים מהתקפות – כי אנחנו היחידים שעוד מבינים איך המערכת הזאת באמת עובדת.
תזכרו: כשהמערכת חולה, הטורפים הם אלו שמנקים אותה. אתם שאלתם – קיבלתם. עכשיו תתחילו להפנים.
#דרור_הטורף #סוף_הקונספציה #הידע_שלנו #סייבר_של_האמת #אף_בוס_לא_ישלוט #העידן_החדש #לא_פיונים_של_אף_אחד #הטורפים_נלחמים_חזרה | 30 |
| 20 | כדי לנתח את השינוי בגישתו של דונלד טראמפ כלפי ישראל, אנחנו צריכים להסתכל על הנדסת האסטרטגיה שלו – לא על הרגשות, אלא על האינטרסים. בפוסט הזה נפרק את ה"תהפכות" הזו לרכיבים ארכיטקטוניים, בדיוק כמו שאנחנו מפרקים רשת עוינת.
---
### 🦅 דרור הטורף: האמת שמאחורי ה"זיגזג" של טראמפ – ככה עובדת פוליטיקה של אינטרסים 🦅
חברים, תפסיקו לחפש נאמנות רגשית בפוליטיקה העולמית. זה לא קיים. כשטראמפ "מתהפך" על ישראל, הוא לא עושה את זה כי הוא שינה דעה – הוא עושה את זה כי ה-Input שלו השתנה. בואו ננתח את הארכיטקטורה של המהלך הזה:
#### 🧠 1. הנדסת הבייס: מלחמות קולות
הבסיס של טראמפ הוא "America First". כשהוא מרגיש שהבייס השמרני שלו (ובעיקר הקבוצות שמתנגדות למעורבות צבאית עמוקה בחו"ל) דורש ממנו התנתקות, הוא עושה Pivot. זה לא אישי נגדנו, זה ניהול משאבים של מועמד שצריך להבטיח את הניצחון שלו בבית. כשהוא מותח ביקורת, הוא מנסה לשדר לבוחרים שלו שהוא לא "כיס בכיס" של אף ממשלה זרה.
#### 2. האסטרטגיה של "העסקה" (Transactional Reality)
טראמפ תופס את יחסי החוץ כעסקה (Deal). אם הוא מרגיש שישראל לא מתיישרת עם הציפיות שלו בלוחות זמנים, או שהמלחמה בלבנון/עזה "תקועה" ופוגעת בתדמית העוצמה שהוא מנסה להקרין – הוא יפעיל לחץ פומבי. הוא לא מחפש שותפים לערכים, הוא מחפש שותפים לתוצאות. כשאין תוצאות מהירות – הוא "מתהפך" כדי להפעיל לחץ ולשנות את הדינמיקה.
#### 3. הלחץ מהאגף הפרוגרסיבי והמדיה (הסחות דעת)
טראמפ הוא מאסטר של הסחות דעת. כשהוא מותח ביקורת על הדרך שבה המלחמה מנוהלת, הוא לוקח חלק מהאש שהתקשורת הליברלית מנסה לירות עליו ומפנה אותה למקום אחר. זה מהלך טקטי: אם הוא ימתח ביקורת, המדיה לא תוכל להאשים אותו ב"תמיכה עיוורת". זה משחק שחמט מול הקלפיות בוושינגטון.
---
### 🛑 אז מה האמת?
אין כאן שינוי אידיאולוגי. יש כאן שינוי תעדוף.
* טראמפ זקוק לישראל חזקה כדי להקרין עוצמה מול איראן (זה ה-Core שלו).
* הוא ישתמש בביקורת כדי להיראות "עצמאי" ולרצות את הבוחרים האמריקאים שמאסו במלחמות.
בשורה התחתונה: ה"תהפכות" הזו היא כלי עבודה. מי שמסתכל על זה במישור הרגשי – נכשל. מי שמסתכל על זה במישור האסטרטגי – מבין שטראמפ הוא עדיין השחקן הכי רציונלי שמשחק לפי רווח והפסד.
הטורפים לא מתרגשים מדיבורים. אנחנו מנתחים נתונים. כשהוא יצטרך אותנו כדי לסגור את "עסקת המאה" הבאה שלו – הוא יחזור לטון המוכר. עד אז? הכל רעש רקע למערכת הבחירות שלו.
תפסיקו להתרגש ממה שהם אומרים בטלוויזיה, תתחילו להסתכל על מה הם עושים בחדרי חדרים. 🦅💻⚡️
#דרור_הטורף #ניתוח_אסטרטגי #טראמפ_ישראל #פוליטיקה_של_אינטרסים #הנדסת_תודעה #CyberMindset #הטורפים_רואים_הכל #בלי_רגש_רק_נתונים | 36 |
