لینک کوتاه مطلب : https://hsgar.com/?p=5007

TAOMM: جلد اول: تجزیه و تحلیل

با شروع با موضوعات مقدماتی مانند ناقل‌های عفونت، مکانیسم‌های ماندگاری، و بارگذاری‌ها، این حجم مملو از محتوا همچنین ابزارها و تکنیک‌های مورد نیاز برای تجزیه و تحلیل جامع بدافزارهایی را که سیستم‌عامل دسکتاپ اپل را هدف قرار می‌دهند، به تفصیل پوشش می‌دهد.

موضوع جلو


  • موضوع اصلی کتاب شامل فهرست مطالب، قدردانی ها، مقدمه و پیش نویس (توسط جاناتان لوین محقق/نویسنده برجسته macOS) است.

    خواندن فصل »


بخش اول: مبانی بدافزار مک


  • قبل از اینکه به مباحث تجزیه و تحلیل پیشرفته بدافزار بپردازیم، مهم است که اصول بدافزار مک را درک کنید.

    در قسمت اول این کتاب، ما این اصول را بررسی خواهیم کرد، از جمله: ناقلان عفونت، روش‌های ماندگاری و قابلیت‌ها.

    خواندن فصل »

فصل 1: ناقلین عفونت

فصل 2: ​​پایداری


  • هنگامی که بدافزار با موفقیت به یک سیستم دسترسی پیدا کرد، هدف بعدی آن معمولا تداوم یافتن است. ماندگاری وسیله ای است که بدافزار خود را بر روی یک سیستم نصب می کند تا اطمینان حاصل شود که در هنگام راه اندازی، ورود کاربر یا هر رویداد قطعی دیگری به طور خودکار دوباره اجرا می شود.

    اگرچه مهاجمان به طور منظم تنها تعداد انگشت شماری از این روش‌ها را مورد سوء استفاده قرار می‌دهند، ما تعداد بی‌شماری از ابزارهای مخفی را پوشش خواهیم داد که بدافزارها می‌توانند از طریق آن‌ها به پایداری دست یابند.

    خواندن فصل »

فصل سوم: قابلیت ها


بخش دوم: تجزیه و تحلیل بدافزار مک

فصل 4: تجزیه و تحلیل غیر دودویی


  • این فصل بر تجزیه و تحلیل استاتیک فرمت‌های فایل «غیر باینری»، مانند بسته‌ها، تصاویر دیسک و اسکریپت‌ها تمرکز دارد که معمولاً هنگام تجزیه و تحلیل بدافزار مک با آن‌ها مواجه می‌شوید.

    خواندن فصل »

فصل 5: تریاژ دودویی


  • در این فصل، بحث خود را در مورد تجزیه و تحلیل استاتیک با تمرکز بر فرمت فایل اجرایی بومی اپل، فرمت فایل شیء Mach محترم (Mach-O) ادامه خواهیم داد.

    از آنجایی که اکثر بدافزارهای مک در Mach-Os کامپایل شده‌اند، همه تحلیل‌گران بدافزار مک باید ساختار این باینری‌ها را درک کنند، زیرا حداقل به شما این امکان را می‌دهد که بدخیم را از مخرب متمایز کنید.

    خواندن فصل »

فصل ششم: جداسازی و کامپایل کردن


  • اگر می خواهید یک نمونه بدافزار جدید مک را به طور جامع درک کنید، به درک اساسی از کد اسمبلی و همچنین توانایی استفاده از ابزارهای پیچیده تجزیه و تحلیل باینری نیاز دارید.

    در این فصل، ابتدا اصول زبان اسمبلی را مورد بحث قرار می‌دهیم و سپس به سراغ رویکردهای تحلیل استاتیک جداسازی و کامپایل می‌شویم. ما با استفاده از این رویکردهای تجزیه و تحلیل با Hopper، یک ابزار معکوس محبوب که قادر به بازسازی کد باینری در قالبی قابل خواندن توسط انسان است، نتیجه گیری خواهیم کرد.

    خواندن فصل »

فصل هفتم: ابزارهای تحلیل پویا


  • هنگام تجزیه و تحلیل یک نمونه مخرب، ممکن است به سادگی آن مورد را اجرا کنید و رفتار و اعمال آن را به صورت غیر فعال مشاهده کنید.

    این امر به ویژه زمانی صادق است که نویسندگان بدافزار مکانیزم‌هایی را پیاده‌سازی کرده‌اند که به‌طور خاص برای پیچیده‌کردن یا حتی خنثی کردن تحلیل استاتیک طراحی شده‌اند، مانند رمزگذاری رشته‌های تعبیه‌شده و اطلاعات پیکربندی یا بارگذاری پویا کد بیشتر در زمان اجرا.

    خواندن فصل »

فصل هشتم: اشکال زدایی


  • ابزار تجزیه و تحلیل پویا نهایی، دیباگر است. دیباگر برنامه ای است که به شما امکان می دهد دستورالعمل برنامه دیگری را با دستور اجرا کنید. در هر زمان، می توانید رجیسترها و محتویات حافظه آن را بررسی یا تغییر دهید، جریان کنترل را دستکاری کنید، و موارد دیگر.

    در این فصل، من مفاهیم مختلف اشکال زدایی را با استفاده از دیباگر واقعی برای macOS معرفی می کنم: LLDB.

    خواندن فصل »

فصل نهم: ضد تحلیل


بخش سوم: تجزیه و تحلیل EvilQuest


  • وقت آن رسیده است که ضرب المثل جهانی “تمرین کامل می کند” را در تمرین قرار دهیم.

    در قسمت سوم این کتاب، تمام آنچه را که در قسمت‌های اول و دوم آموخته‌اید به کار می‌گیرید تا نمونه بدافزار جالب مک معروف به EvilQuest را به طور کامل تحلیل کنید.

    خواندن فصل »

فصل 10: عفونت، تریاژ، و رفع ابهامات EvilQuest


  • EvilQuest یک نمونه پیچیده بدافزار مک است. از آنجایی که از منطق ضد تجزیه و تحلیل، مکانیسم پایداری ویروسی و بارهای موذی استفاده می کند، عملاً التماس برای تجزیه و تحلیل است. بیایید مهارت‌هایی را که از این کتاب به‌دست آورده‌اید برای این کار به کار ببریم!

    این فصل، تجزیه و تحلیل جامع ما از بدافزار را با جزئیات بردار آلودگی، تریاژ باینری آن، و شناسایی منطق ضد آنالیز آن آغاز می کند.

    خواندن فصل »

فصل 11: پایداری و عملکرد اصلی EvilQuest


  • اکنون که نمونه EvilQuest را تریاژ کردیم و منطق ضد تحلیل آن را خنثی کردیم، می‌توانیم به تحلیل خود ادامه دهیم.

    در این فصل، روش‌های ماندگاری بدافزار را توضیح می‌دهیم، که تضمین می‌کند هر بار که سیستم آلوده راه‌اندازی مجدد می‌شود، به‌طور خودکار راه‌اندازی مجدد می‌شود. سپس ما به تعداد بی شماری از قابلیت های پشتیبانی شده توسط این تهدید موذیانه شیرجه خواهیم زد.

    خواندن فصل »


پایان ماده

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.