marsh4l

کاربر تازه وارد
  • تعداد ارسال ها

    32
  • تاریخ عضویت

  • آخرین بازدید

  • روز های برد

    4

آخرین بار برد marsh4l در 14 شهریور 1396

marsh4l یکی از رکورد داران بیشترین تعداد پسند مطالب است !

درباره marsh4l

  • درجه
    1
  • تاریخ تولد تعیین نشده

آخرین بازدید کنندگان نمایه

510 بازدید کننده نمایه
  1. سلام با چی نوشتید؟ الان دقیقا کجاشو مشکل دارید؟
  2. marsh4l

    بررسی ساختار فایل ها

    Hex Editor یکی دیگر از برنامه هایی که در زمینه بررسی کدهای hex و ساختار فایل ها استفاده میشود Hex Editor هستش. در بررسی ساختار malware ها بیشتر از این برنامه استفاده می شود. عکس و لینک برنامه پیوست شد. http://www.hhdsoftware.com/Download/hex-editor-neo.zip
  3. marsh4l

    بررسی ساختار فایل ها

    AT4RE FastScanner یکی از بهترین برنامه هایی که تو بررسی packersو cryptors و compilers به کار میره AT4RE FastScanner هستش. آخرین ورژن برنامه هستش و جدیدترین دیتابیس و signature رو تو خودش داره...مال گروه آتاری هستش. عکس برنامه و خود برنامه ضمیمه شد. FastScanner v3.0 Final.rar
  4. marsh4l

    pack & unpack

    آنپک کردن: برای عملیات انپک سه روش کلی وجود داره: 1- automated static unpacking 2- automated dynamic unpacking 3- manual dynamic unpacking روش اول میشه گفت سریعترین روش هستش و اگه کارکنه کار مارو خیلی جلو می ندازه.ولی روی پکرهای محدودی ازین روش میشه استفاده کرد. در روش دوم به برنامه پک شده اجازه اجرا شدن داده میشه تا Unpacking Stub وظیفش رو انجام بده و پس از اتمام اون از برنامه ی آنپک شده دامپ گرفته میشه.توی این روش مهمترین مسئله یافتن انتهای Unpacking Stub هستش که اگه اشتباه این کار انجام بشه فایل آنپک شده ناقص خواهد بود. روش سوم مطمئن ترین روش هستش چون همه چیز بصورت دستی انجام میشه و بر اساس نوع پکر هم زمانبر هستش...!(مانند vm protect) دو روش برای انجام این کار وجود داره: 1- جستجوی الگوریتم pack و نوشتن برنامه ای که عکس آنرا انجام دهد.نیاز به دانش برنامه نویسی زیاد دارید.(بحث ساختار پشته و هرم ها و لیست ها پیوندی و ....) 2- اجرای برنامه ی پک شده و دامپ گرفتن و فیکس کردن PE header (بازسازی import table و تغییر EP برنامه به OEP )
  5. marsh4l

    ip سایت

    علت اینکه بعضی از سایت های بزرگ Ipهاشو نمتفاوت هستش به این خاطره هر برا داره از یک دیتا سنترش خروجی بر می گردونه... به عنوان مثال وقتی با دستور nslookup شما Ip server سایت گوگل رو می زنید بهتون چندین آدرس میده : Name: google.com Addresses: 108.177.119.139, 108.177.119.102, 108.177.119.101, 108.177.119.100 108.177.119.113, 108.177.119.138 این ipها در هر با فراخوانی توسط یک الگوریتمی جا به جا میش نو هر بار یکیشو براتون میاره...
  6. marsh4l

    pack & unpack

    همیشه ظاهر و محتویات برنامه آنپک شده با برنامه ی اصلی که پک نشده متفاوت هستش. این تفاوت ها رو توی PE header , نام و تعداد سکشن ها و ... قابل مشاهده هستش...! نشانه های برنامه ی پک شده: 1- برنامه دارای توابع ورودی (import) خیلی کم هستش. 2- زمانی که فایل رو در IDA باز میکنیم کد های کمی مشاهده کنیم یا هنگام باز کردن فایل در ollydbg با هشدار "احتمال پک بودن برنامه" مواجع بشیم. 3- نام بخش های برنامه نامتعارف باشه یا اسم یه پکر مشخص باشه (مثل UPX ) 4- برنامه دارای PE header نامتعارف باشه. 5- بدست آوردن توابع درهم ساز . هرچی توابع درهم ساز بیشتر باشه احتمال پک بودن برنامه هم بیشتر هستش. 6- تشخیص با استفاده از disassembler ها..
  7. با سلام... یکی از پروتکل هایی که در انتقال دیتا در روتر های core وجود داره پروتکل BGP یا Border Gateway Protocol هستش که برای دسترسی به شبکهٔ جهانی اینترنت ضروری است. این پروتکل در مقایسه با پروتکل‌های دیگری همچون OSPF و EIGRP که برای تعداد روترها در یک AS یا یک Area محدودیت داشتند، به علت عدم نیاز به ارتباط مستقیم دو روتر در شبکه، دارای این محدودیت نیست علاوه بر حمل و نقل دیتای خود می تواند به عنوان پروتکل carry هم کار انجام دهد. در فایلی که ضمیمه کردم اصول طراحی این پروتکل در شبکه های مبتنی بر سیسکو فراهم آورده شده است. موفق باشید. BGP_Design_-_Cisco.pdf
  8. marsh4l

    pack & unpack

    عملیات Unpacking Stub: ما وقتی یک فایل رو پک کردیم دیگه اون فایل ساختارش برای لودر قابل شناسایی نیست.... اینجاست که باید ما عملیات Unpacking را روی فایل انجام دهیم تا ساختار فایل قابل شناسایی باشد: یه فایل اجرایی معمولی در ویندوز توسط لودر ویندوز بارگزاری میشه. Unpacking Stub یه مجموعه کدی هستش که به فایل پک شده اضافه میشه و مسئول بارگزاری و اجرای شدن فایل پک شده هستش. پس در فایل پک شده لودر ویندوز ابتدا Unpacking Stub رو لود می کنه و سپس فایل پک شده رو بارگزاری میکنه. وظایف Unpacking Stub : آنپک کردن فایل پک شده به داخل حافظه resolve کردن import ها انتقال جریان اجرایی به entry point اصلی (OEP) وقتی یه فایلی پک میشه import table اون هم تخریب میشه و دیگه نمیتونه از کتابخانه ها و توابع اونا استفاده کنه. Unpacking Stub وظیفه بازسازی رو به چند روش داره: 1- Unpacking Stub کتابخانه ها و توابع مورد نیاز برنامه رو با استفاده از 2 تابع LoadLibary و GetProcAddress آماده میکنه. 2- بعضی از پکر ها اصلا import هارو تخریب نمیکنند. با این کار دیگه وظیفه لودر ویندوز هستش که resolve کنه این توابع رو.. 3- نگهداری یک تابع از هر DLL : با اینکار تمام کتابخانه ها لود می شوند. فقط باید با استفاده از GetProcAddress آدرس هارو بدست آورد. 4- روش دیگه از بین بردن کل import هاست. در اینجا Unpacking Stub مجبوره از روش های دیگه (بدون استفاده از تابع) خودش رو توابع برسونه. این روش در شلکد ها , malwareها هم استفاده میشه.
  9. marsh4l

    pack & unpack

    با سلام. می خوام درمورد pack و unpack شدن برنامه ها توضیحی بدم: pack و unpack فقط reverse کارها نمیشناسند... افرادی که با مبحث نرم افزار هم سروکار دارند می دونند. به عنوان مثال ما یک فایل exe داریم؛ما وقتی این فایل رو دیباگ کنیم خیلی راحت میشه کدهای برنامه رو اسمبل کرد و اونو کرک کرد و . . . یه سری افراد اومدن یه برنامه هایی نوشتن که فایل exe ما رو با یکی سری از توابع درهم ساز قاطی می کنه که کرک کردن برنامه سخت باشه! به این نرم افزارها پکر میگن... پس دلیلی که ما از پکرها استفاده می کنیم: فرار از کشف و آنالیز شدن برنامه داره... این روزه اکثر malwareهایی که شناسایی نمیشن به خاطر وجود همین پکرها هستش.... پکر ها اسامی مختلف دارند.... یک نمونه‌اش ASPack هست پکر میتونه کل یک فایل اجرایی رو pack کنه و یا اینکه فقط یه سری از بخش های خاص مثل segment code رو پک کنه...!! همه اینها به هدف پکر بستگی داره که دقیقا چی رو می خواد پک کنه...! بدین صورت ساختار PE اون فایل دیگه قابل تشخیص نیست..!
  10. marsh4l

    DeDe

    با سلام. برنامه هایی که با زبان دلفی نوشته می شن یک دیکاپایلر مخصوص به خودشون دارن که برای راحتی استفاده میشه... با برنامه DeDe می تونید برنامه هایی که به زبان دلفی نوشته شدند رو راحت دیکامپایل کنید... البته برنامه های دیگه ای هم وجود داره..ولی این راحت تره...! خود این نرم افزار هم دارای PE editor هستش.. از اینجا می تونید دانلود کنید: عکس و لینک دانلود ضمیمه شد.
  11. marsh4l

    vb decompiler

    با سلام. در مواقعی که ما متوجه شدیم که برنامه با چه زبانی نوشته شده اقدام به دیکامپایل اون برنامه می کنیم تا بتونیم اونو راحت تر تجزیه و تحلیل کنیم: برنامه هایی که با زبان VB نوشته شدند یک دیکاپایلر مخصوص به خودشون دارن که برای راحتی استفاده میشه... از خود وب سایت اصلیش می تونید دانلود کنید: پلاگین های اضافی هم در خود سایتش موجوده.... لینک و عکس برنامه ضمیمه شد:
  12. marsh4l

    بررسی ساختار فایل ها

    PE Detective یکی دیگه از نرم افزارهایی که توی بررسی ساختار فایل ها کاربرد داره نرم افزار PE Detective هستش.. توی این نرم افزار هم می تونید بفهمید نرم افزارها pack شدند یا خبر...! برنامه و عکس برنامه پیست شد... از خود سایت اصلی می تونید دانلود کنید:
  13. marsh4l

    ابزار exe2hex

    با سلام. یکی از ابزارهایی که در کالی لینوکس هستش ابزار exe2hex هست.. کار این ابزار تبدیل فایل Exe به hex هستش برای عملیات دیباگینگ.. کار با این ابزار راحته و می تونید از این قسمت بیارید(عکس ضمیمه شد:) متدهای مختلفی داره این برنامه که حتی می تونید با بسوند bat هم خروجی بگیرید. موفق باشید
  14. marsh4l

    بررسی ساختار فایل ها

    یکی دیگه از نرم افزارهایی که در شناسایی ساختار فایل ها کاربرد داره CtfExplorer هستش... با این نرم افزار می تونید به فایل های برنامه ها دسترسی پیدا کرده(در صورت پک نبودن) نفوذ کرده و ضمن دستیابی به Source آنها, امکان مشاهده, ویرایش و حذف اطلاعات رو برای شما هموار می کنه.! دانلود از وب سایت اصلی : http://www.maxsidorov.com/ctfexplorer/ctfExplorer-package.exe عکس از محیط برنامه: