ثريد للمحاضرة السادسة في #سايبر_نايت بعنوان
"Intro to Binary Code Analysis"
والتي قدمها م. فيصل جارد
مهندس أمن معلومات أول
#الأمن_السيبراني
#SAFCSP
"Intro to Binary Code Analysis"
والتي قدمها م. فيصل جارد
مهندس أمن معلومات أول
#الأمن_السيبراني
#SAFCSP
تحليل كود الملف الثنائي لفهم مسارات التنفيذ والبيانات والهياكل والسلوك الخاص به
• على عكس تحليل شفرة المصدر ، يتم إجراء تحليل الشفرة الثنائية على مستوى التجميع تم تصميم الشفرة الثنائية بشكل عكسي للاقتراب قدر الإمكان من شفرة المصدر
• على عكس تحليل شفرة المصدر ، يتم إجراء تحليل الشفرة الثنائية على مستوى التجميع تم تصميم الشفرة الثنائية بشكل عكسي للاقتراب قدر الإمكان من شفرة المصدر
العمارة
• تم تطوير CPUS بتشغيل مختلف العمارة ، x86 / x64 ، ARM ، MİPS ، إلخ.
• لكل بنية مجموعات تعليمات مختلفة
• معظم أجهزة windows تعمل على x86 / x64
• خلال ورشة العمل هذه ، سنركز على x86 / x64 وبشكل خاص إلى x64
• تم تطوير CPUS بتشغيل مختلف العمارة ، x86 / x64 ، ARM ، MİPS ، إلخ.
• لكل بنية مجموعات تعليمات مختلفة
• معظم أجهزة windows تعمل على x86 / x64
• خلال ورشة العمل هذه ، سنركز على x86 / x64 وبشكل خاص إلى x64
نظرة سريعة على x64
• في أنظمة x64 ، يبلغ عرض التسجيلات والعناوين 8 بايت (8 * 8 بت = 64 بت)
• يوفر x64 توافقًا عكسيًا عن طريق تشغيل x86 ملفات تنفيذية
• وبالتالي توفير مساحة عناوين افتراضية ومادية أكبر
• في أنظمة x64 ، يبلغ عرض التسجيلات والعناوين 8 بايت (8 * 8 بت = 64 بت)
• يوفر x64 توافقًا عكسيًا عن طريق تشغيل x86 ملفات تنفيذية
• وبالتالي توفير مساحة عناوين افتراضية ومادية أكبر
* X64 يبدأ بحرف "r" ، على سبيل المثال على x86 ، سجل eax هو rax على x64 • 32 بت و 16 بت و 8 بت يمكن معالجتها مباشرة
اصطلاحات استدعاء x86 مقابل x64
• عند استدعاء وظيفة ، يجب اتباع اصطلاح الاستدعاء المناسب
• تحديد أوامر المعلمات ، وكيفية تمريرها وتخصيصها
• تختلف اصطلاح الاتصال من x86 إلى x64 وعبر نظام التشغيل
• سنركز على "STDCALL" واصطلاح استدعاء Microsoft x64
• عند استدعاء وظيفة ، يجب اتباع اصطلاح الاستدعاء المناسب
• تحديد أوامر المعلمات ، وكيفية تمريرها وتخصيصها
• تختلف اصطلاح الاتصال من x86 إلى x64 وعبر نظام التشغيل
• سنركز على "STDCALL" واصطلاح استدعاء Microsoft x64
اصطلاحات المكالمات
• X86 STDCALL:
• تقوم وظيفة المتصل بدفع المعلمات من اليمين إلى اليسار على المكدس
• القيمة المرتجعة موجودة في سجل eax •
X64 اصطلاح استدعاء Microsoft:
• تقوم وظيفة المتصل بنقل المعلمات الأربعة الأولى إلى RCX ، RDX ، R8 ، R9 يسجل بهذا الترتيب
• X86 STDCALL:
• تقوم وظيفة المتصل بدفع المعلمات من اليمين إلى اليسار على المكدس
• القيمة المرتجعة موجودة في سجل eax •
X64 اصطلاح استدعاء Microsoft:
• تقوم وظيفة المتصل بنقل المعلمات الأربعة الأولى إلى RCX ، RDX ، R8 ، R9 يسجل بهذا الترتيب
• يتم دفع المعلمات الإضافية إلى المكدس
• قيمة الإرجاع موجودة في سجل eax
• قيمة الإرجاع موجودة في سجل eax
• ملفات DLL هي ملفات مكتبة مشتركة تسمح لعملية باستخدام وظائفها المصدرة
• تقوم العملية بتحميل DLLS المطلوبة في مساحة العنوان الخاصة بها للوصول إلى وظائفها
• يمكن ربط DLLS إما أثناء وقت التحميل أو أثناء وقت التشغيل باستخدام "LoadLibrary" أو" LoadLibraryEx "
• تحميل DLL متكرر
• تقوم العملية بتحميل DLLS المطلوبة في مساحة العنوان الخاصة بها للوصول إلى وظائفها
• يمكن ربط DLLS إما أثناء وقت التحميل أو أثناء وقت التشغيل باستخدام "LoadLibrary" أو" LoadLibraryEx "
• تحميل DLL متكرر
لكل DLL مستورد ، سيتم استيراد DLLS المستوردة وهكذا.
• يمكن أن يكون لـ DLLS وظيفة خاصة تسمى "D11Main" والتي يتم استدعاؤها بمجرد تهيئة
• يمكن أن يكون لـ DLLS وظيفة خاصة تسمى "D11Main" والتي يتم استدعاؤها بمجرد تهيئة
العناوين ليست ثابتة
• لماذا لا يمكننا ترميز العناوين في PE على المكتب؟
• منذ إصدار نظام التشغيل Windows Vista ، تم تقديم التوزيع العشوائي لتخطيط مساحة العنوان إلى DLLS والملفات التنفيذية التي تم وضع علامة عليها لتمكينها
• ASLR هي ميزة أمان تعمل على
• لماذا لا يمكننا ترميز العناوين في PE على المكتب؟
• منذ إصدار نظام التشغيل Windows Vista ، تم تقديم التوزيع العشوائي لتخطيط مساحة العنوان إلى DLLS والملفات التنفيذية التي تم وضع علامة عليها لتمكينها
• ASLR هي ميزة أمان تعمل على
العنوان الأساسي للملفات التنفيذية في الذاكرة
• تجعل من الصعب استغلال بعض نقاط الضعف في التطبيق الهدف
• تجعل من الصعب استغلال بعض نقاط الضعف في التطبيق الهدف
تحليل تغطية الكود. تقنية مفيدة عند التعامل مع الملفات الثنائية الكبيرة
• يمكن أن تساعد في تقليل التركيز على الوظائف التي يتم تنفيذها
• يمكن لبرامج الأجهزة الثنائية تشغيل تحليل تغطية التعليمات البرمجية وإنشاء ملفات السجل التي يمكن تحميلها
• يمكن أن تساعد في تقليل التركيز على الوظائف التي يتم تنفيذها
• يمكن لبرامج الأجهزة الثنائية تشغيل تحليل تغطية التعليمات البرمجية وإنشاء ملفات السجل التي يمكن تحميلها
في
IDA • "LightHouse" هو مكون إضافي لـ IDA يضيف وظيفة تغطية الكود للمؤسسة الدولية للتنمية •
"DynamoRio" ، يمكن استخدامها لإجراء تحليل التغطية
IDA • "LightHouse" هو مكون إضافي لـ IDA يضيف وظيفة تغطية الكود للمؤسسة الدولية للتنمية •
"DynamoRio" ، يمكن استخدامها لإجراء تحليل التغطية
المحاضرة كانت تطبيق عملي اكثر من النظري بكثير اتمنى تروحون تشوفون التطبيق العملي عشان تستفيدون🙏🤍
وأخيراً اشكر اتحاد الأمن السيبراني @SAFCSP على كل جهودهم في نشر الفائده لنا واستضافتهم أشخاص رائعين واشكر الأستاذ فيصل جارد على محاضرته الأكثر من رائعه و المليئه بالمعلومات القيمه 🙏🤍
جاري تحميل الاقتراحات...