کانال بایت امن

#eBook #ReverseEngineering 📗Mastering Reverse Engineering ➖Format : TruePDF ➖By: Reginald Wong ➖Pages: 436 ➖Publisher: Packtpub ➖Pub Date: 2018 ➖ISBN : 9781788838849 @securebyte

سلام به همه دوستان و همراهان عزیز. مدتی به دلیل پروژه های کاری نبودیم اما از شنبه مجدد فعالیت های کانال به حالت قبل برمیگرده. @securebyte

#FAQ ❓سئوال : سئوال های زیادی در رابطه با امنیت نرم افزار های DrmSoft - Password Protect Video Master و VaySoft پرسیده می شود و بعضی ازسئوالات هم در رابطه با کرک و یا دیکیریپت کردن ویدئو های محافظت شده با این نرم افزار ها مطرح می گردد. ✅ جواب به طور کل در رابطه به این سئوالات جوابی داده نمی شود به این دلیل که تولیدکنندگان محصولات آموزشی ایرانی از این نرم افزار ها به صورت وسیع در حال استفاده هستند. دلیل دوم مربوط می شود به فعالیت هایی که بایت امن در زمینه تولید نرم افزار های امنیتی دارد و این دلایل باعث می شود در رابطه با دیکیریپت کردن ویدئو ها و یا کرک کردن این نرم افزار ها اطلاع رسانی نشود. اما اگر در رابطه با این نرم افزار ها به صورت کلی صحبت کنیم فقط اشاره به لایه های امنیتی این نرم افزار ها است که ساختار و روند مشابه دارند در رابطه با تبدیل فایل های ویدئو به فایل های اجرایی و نحوه پخش ویدئو های اینکیریپت شده و یا پلیر های اختصاصی این نرم افزار ها. علاوه بر آن به دلیل همان ساختار, ضعف ها و محدودیت هایی در رابطه با ایجاد، کارکرد و در نظر گرفتن موارد امنیتی در این نوع از نرم افزار ها وجود دارد. @securebyte

#Misc #News If your business is still running on Windows 7, it's time to get serious about how you're going to handle the January 14, 2020 end of support. @securebyte

لیست نرم افزار ها، توضیحات و قیمت های جدید به زودی در کانال قرار خواهد گرفت. @securebyte

▪️نرم افزار Rapid7 AppSpider تحت ویندوز ✅ نسخه 7.2.77.1 ✅به همراه لایسنس ✅بدون محدودیت ▪️Rapid7 AppSpider ✅Version 7.2.77.1 ✅Along with license ✅Without Any Limitation جهت خرید و اطلاعات بیشتر : @YMahmoudnia @securebyte #Hot

#eBook #Forensic 📗Mobile Forensic Investigations: A Guide to Evidence Collection, Analysis, and Presentation, Second Edition 2nd Edition ➖Format : EPUB ➖By: Lee Reiber ➖Pages: 560 ➖Publisher: McGraw-Hill ➖Pub Date: 2019 ➖ISBN : 978-1260135091 Download Link : http://yon.ir/4GUKr @securebyte

#Misc #Source در پست بالا کتابخانه های مربوط به هوک کردن API ها را معرفی کرده بودم و برای درک بهتر ، نمونه ای در زبان CPP در محیط ویژوال استادیو 2015 با استفاده از کتابخانه MinHook برای شما آماده کرده ام. How to hook Beep API with MinHook in C++ and Visual Studio 2015 Download Link : http://yon.ir/BcIv2 @securebyte

شهادت اسوه شجاعت و عدالت، مظهر تقوی و ساده زیستی حضرت‌ امیرالمومنین، علی (ع) بر تمام مسلمانان و رهروانش تسلیت باد برای هم دعا کنیم ...

#Misc #News چند سال پیش بود که یک نسخه جدید از برنامه Syser Debugger معرفی شد و بعد از اون که گفته میشد باید منتظر نسخه های جدید و بروز باشیم، امروز خبر دیگه ای شنیدم و به نظر میرسه که نویسنده Syser Debugger سورس کد مربوط به برنامه را توسط یک فلش خراب از دست داده و خیلی از این بابت ناراحت شدم . این ویدئو مربوط به چند سال پیش هست وقتی داشتم برای اولین بار نرم افزار را تست میکردم. @securebyte

▪️نرم افزار Metasploit Pro تحت ویندوز و لینوکس ✅بدون محدودیت زمانی ✅همراه با آخرین بروز رسانی ها ⛔️عدم دسترسی به Web UI ▪️Metasploit Pro - Linux And Windows ✅Whitout time trial ✅Along with the latest updates ⛔️Without access to web ui جهت خرید و اطلاعات بیشتر : @YMahmoudnia @securebyte #Hot

▪️نرم افزار Core Impact Pro تحت ویندوز ✅ نسخه 2014 R2 ✅به همراه لایسنس ✅نوع لایسنس : General ✅تعداد هاست : Unlimited ▪️Core Impact Pro - Windows ✅Version 2014 R2 ✅Along with license ✅License Type : General ✅Host Count : Unlimited جهت خرید و اطلاعات بیشتر : @YMahmoudnia @securebyte #Hot

#FAQ ❓سئوال : یه سوال دارم. این رشته ها داخل IDA که xref ندارن، یعنی تو برنامه استفاده نشدن ؟ ✅ جواب اول توضیح بدم که Cross-References ها به صورت خودکار شناسایی می شوند اما شناسایی شدنشون در مدت زمانی هست که فایل ها در حال دیس اسمبل شدن هستند یعنی تا شما فایل رو برای دیس اسمبل باز کردید بلافاصله محاسبه یا حدس زده نمیشه. حالا اینکه Xref ها شناسایی نمی شوند چند علت دارد 1 - ممکن هست رشته ها به صورت غیر مستقیم رفرنس شده باشند مثلا به صورت آرایه 2 - در زمان فرایند دیس اسمبل شدن IDA نتواند Xref ها را حدس بزند یا محاسبه کند 3 - یا اینکه IDA سایز Jump Table ها را نتواند حدس بزند این ها مشکلاتی هست که معمولا در محاسبه Data Xref و یا Code Xref ها پیش میاد. راه حل : رشته مورد نظر را می توانید به صورت بایت های دنباله دار جستجو کنید و خروجی رو با فشردن کلید O به Offset تبدیل کنید. Search Menu \ Sequence of Bytes @securebyte

#FAQ ❓سئوال : در رابطه با امنیت نرم افزار هایی مثل BoxedApp Packer یا Enigma Virtual Box اگر امکان داره توضیح بدید و اینکه چطور امکان داره که به فایل های مجازی دسترسی پیدا میکنند ممنون. من قصد استفاده از BoxedApp SDK دارم. ✅ جواب قبلا در کانال Boxed App را معرفی کرده بودم و اینکه چه نقاط قوت و ضعفی در این ساختار یعنی Application Virtualization وجود دارد. شما به عنوان یک تولید کننده مجموعه آموزشی قصد دارید که از BoxedApp SDK استفاده کنید به این صورت که فایل های ویدئو یا PDF را Encrypt کنید و با استفاده از Boxed App و ایجاد فایل مجازی در مسیر مورد نظرتون فایل ها را اجرا کنید. من نمیگم که این روش خوب نیست و استفاده نکنید و به هر حال این هم میتونه کاربردی باشه اما در توضیح استفاده از این روش از دیدگاه امنیت نرم افزار چند نکته وجود داره اولین نکته استفاده از قابلیت BoxedApp علیه خودش هست. شما وقتی که از BoxedApp استفاده میکنید برای ایجاد و دسترسی به فایل های مجازی یک سری تغییرات با استفاده از Hook شدن API ها انجام میشه تا اینکه برنامه شما و یا فایل های DLL شما به فایل های مجازی دسترسی داشته باشند پس در این حالت با تزریق یک DLL با استفاده از تکنیک های DLL Injection به پروسس برنامه شما، اون DLL هم به فایل های مجازی دسترسی داره نکته دوم استفاده نکردن صحیح از Option های BoxedApp SDK هست. به عنوان مثال استفاده از Option زیر میتواند فایل های مجازی را در برابر File Dialog مخفی نگه دارد HIDE_VIRTUAL_FILES_FROM_FILE_DIALOG و نکته آخر اینکه با این روش نمی توانید مانع از رکورد صفحه نمایش در برابر ابزار های رکورد شوید که این خودش موضوع دیگری هست. در صورت داشتن تجربه کافی با زبان ++C ( یا یکی از زبان هان برنامه نویسی Native ) و مبحث Hook جایگزین بهتر و اصولی تر و امن تر از Application Virtualization وجود دارد. @securebyte

#سوال: میلاد داخل ویندوز میشه توکن ادمینو بدون uac روو خودت با identification level برداری impersonate کنی؟ .... الان یه سری چیزا روو impersonation یه یوزر دیگه تست کردم که خب ریزالتش یه چیزی شد واقعا نمی فهمم چرا یه یوزر دیگه رو بدون SeImpersonatePriv میشه یه لول بالا ازش گرفت .... فورشا توو این مقاله way around uac ش گفته که اون چیزی که مایکروسافت داکیومنت کرده گفته فلان پریویلج رو میخواد توو پیاده سازی یه priv دیگه پیا ه سازی کرده #پاسخ: یک نکته مهندسی هست که میگوید به میزانی که پروژه نرم افزاری شما رشد کرده و بزرگ میشود، سوتی ها و مشکلات داخل آن ها به تناسب رشد کرده و بزرگ میشود. در هر صورت، ویندوز به خاطر ساختار در هم تنیده ای که داره خیلی مستعد مشکل هست. این تکنیک که هم شما الان در موردش صحبت کردید، قدیمی است، نباید الان جواب بدهد. حتی یادم هست، این داستان ها روش های Fileless اش هم یه مدت استفاده میشد. مثلا این یک نمونه اش https://gist.github.com/dezhub/c0fee68d1e06657a45ec39365362fca7 هست. در هر صورت، تقریبا تمام کسانی که تحلیل کار می کنند، این بحث های Token و این جور چیزها را داخل ویندوز خوب متوجه نشدن و نمیشوند. در هر صورت، خیلی خلاصه بهت میگم ما دو جور توکن داریم، یک دونه خود primary token هست که در واقع مربوط به سرور هست. یک دونه هم access token هست که مربوط به کلاینتی میشه. میشه به سادگی کاری کرد که این دو تا توکن در قالب دسترسی های OpenProcessToken و OpenThreadToken که انجام میدی با هم تضاد داشته باشن و به نتیجه ای که می خواهی نرسی. به اضافه اینکه خود اون توکن primary هم یه security descriptor داره که میشه توش تعیین کرد امکان دسترسی به چه نوع دسترسی هایی بده وقتی کلاینت می خواد دسترسی رو. ببین من هم نگفتم ساده هست. فقط زیربناش اینه که شما به اینکه هر دو توکن کلاینت و سرور در یک پروسه هست توجه نمی کنی. حتی این رو میشه با تغییرات توی GPO هم جلوش رو گرفت اگر توکن primary و توکن access هم در قالب پروسه های متفاوت باشن، یه مقدار بحث کلا عوض میشه. اونجاست که بحث چیزایی مثل AccessCheck() و این جور چیزها میاد وسط که خودش باز یک داستان دیگه هست. خلاصه اینکه اگر فورشاو اینطوری میگه، پس باید داستان رو از خود فورشاو پیگیر شی که ببینی واقعا مسئله چی هست. هوووم. ببین این چیزی که فارشو گفته، چند تا پیش شرط داره خوب. اولش اینه که Token Level برابر با Identification باشه. دومین موردش اینه که پروسه سطح دسترسی یا همون Priviledge برای Impersonate هم داشته باشه. البته قبول دارم، راه های دیگر هم می تواند داشته باشد، مثلا توکن هایی که از قبل در سیستم معرفی شدن و مبداشون هم مشخصه، اصطلاحا بهشون Over-The-SHoulder میگن. بهرحال این پیش شرط ها و شرایط وجود داره و میشه با GPO اینها رو محدود کرد. اگر هم طبق اون چیزی که گفتم access و primary هر دو در یک پروسه نباشن (یعنی کلا بحثت دور زدن UAC نباشه، بلکه کپی کردن توکن یه پروسه ی حساس در سیستم باشه)، این شرایط سخت تر میشه و قابل کنترل تر. @miladkahsarialhadi

سوء استفاده از عدم آگاهی دیگران ادامه دارد. برنامه TelegramX یا TeleX که در تصویر بالا بیان میکند نسخه بلاکچین و ضد فیلتر و رسمی تلگرام است، ارتباط مستقیم با هاتگرام دارد و فقط قصد دارد با ایجاد شباهت اسمی با TelegramX رسمی، به هدف خود برسد. 🚫نسخه بلاکچین تلگرام وجود ندارد 🚫برنامه های موبایل را از استور های رسمی دانلود کنید 🚫به شباهت های اسمی برنامه ها با نسخه اصلی توجه کنید با یک تحلیل ساده از نسخه ای که معرفی شده میشه فهمید ارتباط مستقیم با هاتگرام دارد یا نسخه ویرایش شده هاتگرام است. JsonObjectRequest jsonObjectRequest = new JsonObjectRequest(1, "http://rgapi.hotgram.ir/v12/user/register?slt=" + System.currentTimeMillis() + "&appid=3" @securebyte

#FAQ ❓سئوال : سلام یه سئوال داشتم در مورد تفاوت و شباهت های برنامه Ollydbg و Immunity Debugger و اینکه چرا Immunity Debugger استفاده بیشتری در مباحث Exploit Development داره و اینکه درست هست Immunity قابلیت بایپس اتومات DEP - ASLR و SEH رو داره ؟ ✅ جواب برنامه Immunity Debugger از لحاظ ساختار و رابط کاربری شباهت زیادی به Olly دارد به این خاطر که Immunity نسخه Fork برنامه Ollydbg 1.10 هست. اما تعامل بین زبان برنامه نویسی پایتون با Immunity که یکی از تفاوت های چشم گیر هست که در Ollydbg این امکان وجود ندارد و اسکیریپت هایی که در زمینه Exploit Development برای Immunity در زبان پایتون ساخته شده، باعث میشه Immunity بیشتر در Exploit Development به کار گرفته شود. بخش سوم سئوال شما اصلا درست نیست چرا که قرار نیست برای بایپس کردن DEP خود Immunity این مسئله را متوجه بشه و ROP Chain را برای شما به وجود بیاره. در مرحله اول Exploit Development باید بفهمید که تارگت شما دارای چه پروتکشن هایی است مثل DEP - ASLR یا ... و این اطلاعات را Mona که یکی از محبوب ترین اسکیریپت های Immunity برای Exploit Development است در اختیار شما قرار می دهد یا اینکه میتوانید از Process Explorer برای فهمیدن این موضوع استفاده کنید و یا از پلاگین OllySEH در Ollydbg 2 استفاده کنید اما قرار نیست که بایپس کردن این لایه های امنیتی بر دوش دیباگر باشد. @securebyte

#FAQ ❓سئوال : تیم ما یک برنامه اندروید تولید کرده و الان سعی داریم از لحاظ امنیتی برنامه خودمون رو تست کنیم. مثلا بتونیم جلوی ابزار هایی مثل Frida رو بگیریم یا حتی Xposed . میتونید راهنمایی کنید به چه روشی اینکارو انجام بدیم ؟ ✅ جواب زمانی که شما قصد دارید برنامه ای رو شناسایی که آیا در حال اجرا هست یا نه از یک سری ویژگی ها میتوانید استفاده کنید به طور مثال 1 - چک کنید پروسس برنامه در حال اجرا هست یا نه 2 - اگر برنامه سرویسی داره چک کنید سرویس در حال اجرا هست یا نه 3 - اگر برنامه از پورت خاصی داره استفاده میکنه بررسی کنید که آن پورت در حالت Listening هست یا نه 4 - و خیلی روش های دیگر در مورد برنامه Frida میشه اسم و پورت را مورد بررسی قرار دهید اما برنامه Frida فایل پیکربندی داره یعنی اینکه در این فایل میشه پورت پیشفرض که 27047 هست را تغییر داد یا اینکه با ایجاد تغییرات در فایل باینری خود Frida اسم پروسس که fridaserver هست را تغییر داد. من پیشنهاد میکنم اول با ساختار برنامه Frida آشنا بشید و بررسی کنید که از چه روش هایی میشه Frida را غیر قابل شناسایی کرد و بعد سعی کنید روشی پیدا کنید که اگر هم تغییراتی در برنامه Frida یا فایل پیکربندی ایجاد شد باز هم روش شما برای شناسایی Frida مفید باشد. راهنمایی : ابزارهایی مثل Frida از Code Injection استفاده میکنند پس بررسی کنید ببینید فایل ها Frida در حافظه Map شده اند یا خبر. @securebyte

#FAQ ❓سئوال : آقای محمودنیا ، بیشتر آموزش هایی که تو نت هست میان و فایل اگزه بررسی میکنن حالا اگر فایل هدف من یه فایل DLL باشه چطوری میتونم به صورت داینامیک دیباگش کنم ؟ ✅ جواب دو روش معمول برای تحلیل فایل های DLL وجود دارد 1 - تغییر خواص فایل DLL به فایل Exe ( که در شرایطی خاصی اینکار را انجام میدیم ) 2 - استفاده از قابلیت های دیباگر. زمانی که فایلی را در دیباگر باز میکنید به همراه آن تمامی DLL های وابسته هم بارگذاری می شوند. به عنوان مثال در برنامه Olly با استفاده از کلید های ترکیبی Alt + E و یا رفتن به منوی View و انتخاب زیر منوی Executable Modules و یا کلیک کردن بر روی دکمه E در نوار ابزار می توانید به تمامی فایل ها دسترسی داشته باشید. روش دیگر فعال کردن قابلیت Break on new module از تب Events واقع در منوی Options و انتخاب زیر منوی Debugging option هست. با فعال کردن این گزینه هر DLL ی که وابسته به فایل اجرایی شما باشد قبل از فراخوانی شدن میتوانید به تحلیل کدهای آن بپردازید میشه گفت معادل ایجاد نقطه توقف در LoadLibrary می باشد. اما اگر از x64dbg استفاده میکنید میتوانید تب Symbols را از تب هایی که زیر نوار ابزار وجود دارند انتخاب کنید و یا از منوی View زیر منوی Symbol Info و یا کلید های ترکیبی Ctrl+Alt+S استفاده کنید. @securebyte

#ReverseEngineering #Ghidra ویدئو آموزشی نحوه آنالیز استاتیک Firmware با استفاده از برنامه Ghidra. در این ویدئو مثال خوبی از فرایند تحلیل به صورت استاتیک بیان شده است و دوستانی که سئوال داشتند در رابطه با تفاوت های تحلیل استاتیک و داینامیک, این ویدئو میتواند به درستی فرایند تحلیل استاتیک را نمایش دهد. @securebyte