🚨بررسی یک Dropper که در محیط دات نت نوسته شده است

No comments

⬅تهیه شده در واحد انالیر بد افزار و فارنزیک آکادمی آموزش روزبه
آدرس کانال تلگرامی آموزشHttps://t.me/roozbeh_learning
بخشی از دوره آنالیز بد افزار مطابق مستندات موسسه SANS

dropper به برنامه‌ای گفته می‌شود که برای نصب بدافزارها (ویروس، درپشتی و غیره) بر روی یک سامانه هدف طراحی شده است در این مقاله سعی شده است که یک بد افزار مورد تحلیل قرار گیرد. ما در اینجا نکات مقاله مندرج در لینک را بررسی میکنیم .

🔆در لینک زیر مثال مد نظر برای این دراپر ، اتوران Patient Zero انجام گرفته است .

🔰نکات:
معمولا برای بازکردن پک های اجرایی ( exe) از Disassembler استفاده میگردد ، نمونه خوب آن ابزار IDA pro است .اما برای محیط دات نت از dnSpy استفاده میکنیم .

بدلیل اینکه پک اجرایی کد های دات نت به راحتی به کد اولیه قابل برگشت هستند ، توسعه گران تلاش میکنند با استفاده از تکنیک های Obfuscation ، مهندسی معکوس روی کد های خود را مشکل سازند .

برای این مثال در راستای فهم نوع درهم سازی کد از ابزار
deyect it eady( die )استفاده میکنیم .پس از آن با استفاده از de4dot کد را باز میکنیم تا خوانا باشند.برای بررسی کد از روشهای استاتیک و داینامیک استفاده میکنیم . چون dnspy خود یک دیباگر است میتوانیم در خطوط کد به راحتی حرکت کنیم.

نکته: این بد افرار برای سخت کردن کار محققان مهندسی معکوس از تکنیک هایی استفاده کرده که در هنگام بررسی کد ها و توابع ( خصوصا در هنگام تحلیل کد بصورت داینامیک )، تمام ابزار ها از کار افتاده و بسته میشوند . این کار را با کمک از تزریق در پروسه ها استفاده کرده است .

لذا میبینید که وقتی با نویسنده یک بد افزار مواجه هستید روبروی شما یک هکر ساده نیست.
ولی باز برای اینکه ببینید راهکاری هست ، مقاله را بخوانید .

https://www.cybereason.com/blog/.net-malware-dropper

🔻🔻🔻🔻🔻🔻🔻🔻🔻
🚨با ما همراه باشید در دوره مهندسی معکوس و انالیز بدافزار با به روز ترین منابع و برترین اساتید باسابقه کشور
🔷واتس اپ برای رزرو
09902857289
آکادمی آموزش روزبه

روزبه🚨بررسی یک Dropper که در محیط دات نت نوسته شده است

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *