سلام.
ابزارهای مختلفی برای آنالیز شلکدها هست، امروز دوتا ابزار رو معرفی میکنم که یکی به زبان پایتون ShellDetect که محض آشنایی و نحوه کدنویسی در پایتون هستش :دی
ابزار اصلی scdbg هست که برپایه libemu برای آنالیز شلکدها ساخته شده است. با این ابزار شلکدها رو emulate کرده و تمامی API های که شلکد میخاد فراخوانی کنه رو نشون میده.
در زیر یک تصویر نمونه رو میبینین :
As organizations become ever more dependent on networked operations, they are increasingly vulnerable to attack by a variety of attackers, including criminals terrorists and nation states using cyber attacks. New malware attacks, including viruses, Trojans, and
worms, are constantly and rapidly emerging threats However, attackers often reuse code and techniques from previous attacks. Both by recognizing the reused elements from previous attacks and by detecting patterns in the types of modification and reuse observed, we can more rapidly develop defenses, make hypotheses about the source of the malware, and predict and prepare to defend against future attacks We achieve these objectives in Malware Analysis and Attribution using Genetic Information (MAAGI) by
adapting and extending concepts from biology and linguistics. First, analyzing the “genetics” of malware (i.e., reverse engineered representations of the origina program) provides critical information about the program that is not available by looking only at the executable program. Second, the evolutionary process of malware (i.e., the transformation from one species of malware to another) can provide insights into the ancestry of malware, characteristics of the attacker and where future attacks might come from and wha they might look like. Third, functional linguistics is the study of the intent behind communicative acts; its application to malware characterization can suppor the study of the intent behind malware behaviors. To this point in the program, we developed a system tha uses a range of reverse engineering techniques including static, dynamic, behavioral, and functiona analysis that clusters malware into families. We are also able to determine the malware lineage in some situations. Using behavioral and functional analysis we are also able to identify a number of functions and purposes of malware.
Detection based on features is most popular way to prevent malware these days. Current feature abstracting and matching methods are susceptible to obfuscation techniques, and cannot deal with the variants which are emerging quickly.
This paper proposes a malware feature extracting method based on its behaviors. This method can abstract the critical behaviors of malware and the dependencies between them through dynamic analysis, and generate the features to defeat malware obfuscations considering semantic irrelevancy and semantic equivalency to improve the describing capabilities of the malware features. This paper also designs a corresponding detecting method based on these features. The experiment results show that our method is more resilient to malware obfuscation techniques, especially for real world malware
variants.
سلامی دوباره.
خوب تقریبا بعد یک ماه اومد یه پستی بدم، بعد از این همه درگیری کاری و کنفرانس و ...
این کتاب رو شاید خیلیا بشناسن که خوندنش خالی از لطف نیست، مخصوصا دوستان عشق پایتون عین خودم :دی
این کتاب 7 تا فصل داره :
این فایل رو بصورت تورنت میتونید دانلود کنید که راحت باشین.
لینک فایل تورنت [+]
موفق باشین.
سلامی دوباره.
در ادامه باهم بصورت ساده و مختصر کمی درباره امنیت در این پروتکل مسیریابی صحبت میکنیم.
برای تایید صحت و درست بودن اطلاعات مسیریابی دریافت شده ما می توانیم تهدید ها را بطور کلی به دو نوع External , Internal تقسیم نماییم.
» تهدید های External
تهدید های External معمولا توسط خارج از ناحیه انجام میشود (در اینجا منظورمان از Insider روترهایی خواهند بود که مورد اعتماد شبکه هستند و بعنوان یک روتر در شبکه پذیرفته شده است و همچنین در روند تبادل اطلاعات شرکت می کند)، بعنوان مثال نفوذگری که به لینک ارتباطی بین روترها دسترسی پیدا می کند. یک مزاحم می تواند حذف،ایجاد و بازپخش و حتی ایجاد پکت های جعلی را داشته باشد که این امر میتواند باعث شود تا روتر خارجی و مزاحم بعنوان یک روتر مشروع تلقی گردد و در انتقال و ارتباط بین همسایگان قرار گیرد.
برای مقابله با این نوع تهدید می توان با انجام تنظیماتی چون Authentication استفاده نمود.بدین صورت که تمام روتر درون ناحیه و معتبر، بین خودشان کلید رمزی را به اشتراک میگذارند که توسط آن میتوانند روترهای مشروع و قابل قبول را شناسایی نمایند. پروتکل OSPF مستلزم خواهد بود تا تمامی تبادلات را Authenticate نماید.
Skimmingیک عمل غیر مجاز هستش که فردی دیوایس های که معمولا غیرقابل تشخیص هستند را برای دزدین اطلاعات کاربرها استفاده میکند. پس بنابراین ATM Skimming میشه نصب این دستگاه ها در باجه های ATM ، منظور از غیرقابل تشخیص بودن یعنی در نگاه اول تشخیص این دستگاه ها توسط کاربران ATMسخت هستش.
با دیوایس نصب شده اطلاعات مهم و محرمانه کاربران هنگامی که کارت را برای عملیات بانکی وارد کنند بدست میارند.سپس فرد میتواند داده های بدست آورده رو برروی یک کارت ذخیره و هرکاری که دوست دارد روی حساب بانکی فرد انجام دهد.
خیلی ها از افرادی که در زمینه کامپیوتری فعالیت میکنند، هکرها را افرادی میبینند که توانایی آن را دارند از طریق حملاتی چون SQLi و امثالهم (که همگی در لایه ۷ از مدل لایه ای شبکه OSI هستند) می توانند یک CMS را هک کنند و تمامی نفوذ را فقط و فقط در سطح همان لایه میبینند. این بار قصد داریم به لایه های پایین تر برویم ! برویم به لایه ۲ از مدل OSI، بله درست حدس زدید قرار است به شرح یک حمله در سطح لایه ۲ که همان پیوند داده ها (Data Link) است بپردازیم.
Download