آموزش توسعه بدافزار برای هکرهای اخلاقی و متخصصین تست نفوذ - آخرین آپدیت

سرفصل ها و درس ها

مقدمه Introduction

• مقدمه Introduction

راه اندازی آزمایشگاه Lab setup

• راه اندازی آزمایشگاه ۱ Lab setup 1

• نصب ابزارهای مهم در ویندوز برای توسعه بدافزار Installing important tools in windows for malware development

ساخت زیربنا و مفاهیم پایه Building the foundation

• بدافزار چیست و انواع آن کدامند What is a malware and its types

• مقدمه‌ای بر ساختار فایل PE Introduction to PE file structure

• درک MS DOS Header در فایل PE ویندوز Understanding MS-DOS Header in PE file of windows

• درک DOS stub در فایل PE ویندوز Understanding DOS stub in PE file of windows

• مبانی ساختار بخش Header در PE PE - Header section structure Basics

• درک زیربخش‌های PE Headers: امضا، File Header و OptionalHeader Understanding PE Headers subsections - Signature, File Header and OptionalHeader

• درک PE Section Headers Understanding PE Section Headers

• درک PE sections در ویندوز Understanding PE sections in windows

• درک توکن، هندل و ترد (Thread) یک پروسه Understanding token, handle and thread of a process

• درک اطلاعات توکن در Process Hacker Understanding token information in process hacker

• درک اطلاعات جدول هندل (Handle Table) Understanding handle table information

• درک تردها در Process Hacker Understanding threads in process hacker

مبانی برنامه‌نویسی Windows API: هندل‌ها در ویندوز Windows API programming basics - Handles in Windows

• هندل (Handle) در ویندوز چیست؟ What is a Handle in windows ?

• مثال هندل ویندوز: یافتن برنامه در حال اجرا با استفاده از هندل Windows Handle example: Finding out running program using windows handle

• مثال هندل ویندوز: مخفی کردن، کوچک کردن و بزرگ کردن برنامه در حال اجرا Windows Handle example: Hiding , minimizing, maximizing running program

مبانی برنامه‌نویسی Windows API: ایجاد و مدیریت پروسه‌ها در ویندوز Windows API programming basics: Creating, Manipulating Processes in windows

• پیکربندی آزمایشگاه در ماشین توسعه بدافزار Lab configuration in Malware development machine.

• بررسی عمیق تابع CreateProcess و درک پارامترهای ورودی آن Deep diving into CreateProcess function and understanding its input parameters.

• ایجاد یک پروسه با استفاده از تابع CreateProcess Creating a process using CreateProcess function

• چگونه می‌توانیم یک برنامه را با استفاده از فلگ‌های ساختار STARTUPINFO مخفی کنیم How can we hide a program using STARTUPINFO structure flags

• نمایش عملی مخفی کردن برنامه Hiding program practical demonstration

• مخفی کردن برنامه با استفاده از فلگ‌های تابع CreateProcess در ویندوز Hiding program using CreateProcess function flags in windows

• مخفی کردن برنامه‌های کنسولی در ویندوز Hiding console programs in windows

• درک هندل‌های ارثی (Inherit Handles) در تابع CreateProcess ویندوز Understanding inherit handles in CreateProcess function in windows

• نمایش عملی هندل ارثی در تابع CreateProcess Practical demonstration of inherit handle in CreateProcess function

• نحوه تنظیم متغیر محیطی سفارشی برای پروسه فرزند در ویندوز How to set custom environment variable for child process in windows

• نحوه تنظیم دایرکتوری کاری سفارشی برای پروسه فرزند در تابع CreateProcess How to set custom working directory for child process in CreateProcess function

• نحوه باز کردن یک پروسه با استفاده از تابع OpenProcess در Windows API How to open a process using OpenProcess windows api function

مبانی Threadها در برنامه‌نویسی Windows API Thread basics in windows API programming

• درک نحوه عملکرد تابع CreateThread در ویندوز Understanding CreateThread function working in windows

• نمایش عملی ایجاد ترد با تابع CreateThread ویندوز Practical demonstration of thread creation with CreateThread windows function

• نحوه اجرای یک شل‌کد (Shellcode) با تابع CreateThread How to execute a shellcode with CreateThread function

• نمایش عملی اجرای شل‌کد با تابع CreateThread Practical demonstration of executing a shellcode with CreateThread function

• درک ANSI و UNICODE در برنامه‌نویسی ویندوز Understanding ANSI and UNICODE in windows programming

حملات تزریق بدافزار در سیستم‌عامل ویندوز Malware injection attacks in windows operating system

• درک نحوه تزریق کد به سایر پروسه‌های در حال اجرا در ویندوز Understanding how to inject code into other running processes in windows

• نمایش عملی تزریق کد بدافزار به سایر پروسه‌ها در ویندوز Practical demonstration of malware code injection into other processes in window

• درک حمله تزریق DLL (DLL Injection) در ویندوز Understanding DLL injection attack in windows

• نمایش عملی حمله تزریق DLL در ویندوز Practical demonstration of DLL injection attack in windows

• درک مفهوم DLL Hijacking در ویندوز Understanding DLL hijacking concept in windows

• نمایش عملی DLL Hijacking در ویندوز Practical demonstration of DLL hijacking in windows

• درک تکنیک تزریق کد APC Understanding APC code injection technique

• نمایش عملی تزریق APC در ویندوز APC injection practical demonstration in windows

پایداری بدافزار (Persistence) Malware persistence

• پایداری بدافزار با استفاده از ورودی‌های رجیستری Malware persistence using registry entry

• نمایش عملی پایداری بدافزار با استفاده از رجیستری Practical demonstration of Malware persistence using registry entry

• پایداری بدافزار از طریق Winlogon Malware persistence via Winlogon

• نمایش عملی پایداری بدافزار از طریق Winlogon Practical demonstration of malware persistence via Winlogon

• درک پایداری بدافزار از طریق ایجاد سرویس‌های مخرب ویندوز Understanding malware persistence by creating Malicious Windows Services

• نمایش عملی پایداری بدافزار از طریق ایجاد سرویس ویندوز Practical demonstration of malware persistence via creating Windows Service

افزایش سطح دسترسی: سرقت توکن در ویندوز Privilege escalations - Token stealing in Windows

• درک مفهوم پایه سرقت توکن Understanding basic token theft concept

• نحوه فعال‌سازی SeDebugPrivilege: درک مفهوم پایه How to enable SeDebugPrivilege - understanding basic concept

• درک نحوه عملکرد برنامه فعال‌ساز SeDebugPrivilege Understanding the working of enable SeDebugPrivilege program

• نمایش عملی فعال‌سازی SeDebugPrivilege برای توکن یک برنامه Practical demonstration of enabling SeDebugPrivilege of a program token

• درک مراحل پایه نحوه سرقت توکن پروسه winlogon Understanding the basic steps of how to steal token of winlogon process

• نمایش عملی سرقت توکن پروسه winlogon Practical demonstration of stealing token of winlogon process

افزایش سطح دسترسی: سرقت رمز عبور از پروسه lsass در ویندوز Privilege escalation - Password stealing from lsass process in windows

• پروسه lsass در ویندوز چیست؟ What is lsass process in windows ?

• چگونه رمز عبور را از پروسه lsass در ویندوز سرقت کنیم؟ How do we steal the password from lsass process in windows ?

• درک توابع Windows API مورد استفاده برای یافتن ID پروسه هدف Understanding Windows API functions used in finding the target process id

• درک منطق برنامه برای یافتن ID پروسه (lsass.exe) Understanding the program logic of process id ( lsass.exe ) finding program

• نمایش عملی یافتن ID پروسه lsass در ویندوز Practical demonstration of finding the process id of lsass in Windows

• درک جریان برنامه برای سرقت رمز عبور از پروسه lsass Understanding the program flow of password stealing program from lsass process

• نمایش عملی دمپ کردن حافظه پروسه lsass توسط بدافزار Practical demonstration of dumping the memory of lsass process from our malware

• استخراج هش‌های رمز عبور از فایل دمپ lsass Extracting the password hashes from the lsass dump file

افزایش سطح دسترسی: دور زدن UAC در ویندوز Privilege Escalation - UAC bypass in windows

• UAC چیست و چگونه کار می‌کند What is UAC and how it works

• اجرای برنامه با سطوح دسترسی مختلف Running our program with different access levels

• درک نحوه عملکرد ابزار fodhelper در ویندوز Understanding fodhelper tool working in windows

• سوءاستفاده از ابزار fodhelper برای دور زدن دستی UAC Abusing fodhelper tool to bypass UAC manually

• دور زدن اعلان UAC با استفاده از کد C Bypassing UAC prompt using our c code

گریز بدافزار: شناسایی دیباگرها Malware Evasion- Detecting Debuggers

• شناسایی دیباگرها با استفاده از تابع IsDebuggerPresent در Windows API Detecting debuggers using Windows IsDebuggerPresent api function

• تابع IsDebuggerPresent در لایه‌های داخلی چگونه دیباگرها را شناسایی می‌کند؟ How IsDebuggerPresent api function works internally to detect debuggers ?

• شناسایی دیباگرها با توابع دیگر Windows API برای محافظت از بدافزار Detecting debuggers with another windows api function for malware protection

• تابع CheckRemoteDebuggerPresent در لایه‌های داخلی چگونه دیباگر را شناسایی می‌کند How CheckRemoteDebuggerPresent API function works internally to detect debugger

گریز بدافزار: شناسایی نقاط توقف (Breakpoints) دیباگر Malware Evasion - Detecting debuggers breakpoints

• مفهوم Checksum چگونه در شناسایی نقاط توقف در برنامه‌های بدافزار عمل می‌کند؟ How checksum concept works in detecting breakpoints in malware programs ?

• درک نحوه عملکرد تابع Checksum برای شناسایی Breakpointها در بدافزارها Understanding how checksum function works to detect breakpoints in malwares

• درک کد برنامه بدافزاری که نقاط توقف در دیباگرها را شناسایی می‌کند Understanding the malware program code which detects breakpoints in debuggers

• نمایش عملی نحوه شناسایی نقاط توقف در برنامه بدافزار ما Practical demonstration of how we detect the breakpoints in our malware program

گریز بدافزار: شناسایی دیباگرها با استفاده از ساختار PEB در حافظه Malware Evasion - Detecting debuggers using PEB structure in memory

• شناسایی دستی دیباگر با استفاده از فلگ NtGlobalDebug در ویندوز Detecting a debugger manually using NtGlobalDebug Flag in windows

• چگونه در زبان C به مقادیر فیلدهای ساختار PEB دسترسی پیدا کنیم؟ How to access PEB structure field values in c ?

• ساخت برنامه‌ای که با استفاده از داده‌های PEB در حافظه، دیباگر را شناسایی می‌کند Creating a program which detects the debugger using PEB data in memory.

گریز بدافزار: شناسایی دیباگرها با استفاده از تابع NTDLL Malware Evasion - Detecting debuggers using NTDLL function

• درک نحوه عملکرد تابع NtQueryInformationProcess در NTDLL Understanding the working of NTDLL function NtQueryInformationProcess working

• نحوه استفاده از فلگ debug در NtQueryInformationProcess برای شناسایی حضور دیباگر How to use debug flag in NtQueryInformationProcess to detect debugger presence

• نمایش عملی برنامه بدافزاری که حضور دیباگر را شناسایی می‌کند Practical demonstration of malware program which detects debugger presence

• استفاده از فلگ DebugObjectHandle برای شناسایی دیباگر در برنامه بدافزار Using DebugObjectHandle flag to detect debugger presence in the malware program

• نحوه دور زدن بررسی دیباگر در برنامه ما با استفاده از x64dbg در ویندوز How to bypass the debugger check in our program using x64dbg in windows

گریز بدافزار: شناسایی ماشین‌های مجازی از طریق بررسی فایل‌ها Malware Evasion - Detecting Virtual Machines using files based checking

• شناسایی ماشین مجازی (VM) بر اساس فایل در ویندوز File based Virtual Machine detection in windows

• نحوه استفاده از توابع Windows API برای شناسایی فایل‌ها در ویندوز How to use Windows API function to detect files in Windows

• درک کد برنامه شناسایی VM در ویندوز Understanding the program code of VM detection program in Windows

• نحوه دور زدن بررسی VM در برنامه‌ای که از شناسایی فایل استفاده می‌کند How to bypass VM check in VM detection program which uses file check

گریز بدافزار: شناسایی ماشین مجازی از طریق بررسی اطلاعات سخت‌افزاری Malware Evasion - Detecting Virtual Machine by checking hardware info in windows

• شناسایی VM با استفاده از سخت‌افزار: نحوه دریافت اطلاعات سخت‌افزاری (اندازه) در ویندوز How to detect VM using hardware - How to get hardware info ( size ) in Windows

• نمایش عملی دریافت اندازه اطلاعات سخت‌افزاری در ویندوز Practical demonstration of getting hardware info size in windows

• نحوه استفاده از اطلاعات سخت‌افزاری برای بررسی حضور VM در سیستم‌عامل ویندوز How to use the hardware info to check for VMs presence in Windows OS

• نمایش عملی شناسایی حضور VM با بررسی اطلاعات سخت‌افزاری Practical demonstration of detecting VM presence using hardware info check

تکنیک‌های دور زدن آنتی‌ویروس در ویندوز Malware Antivirus Bypassing Techniques in Windows

• تکنیک‌های مختلف برای دور زدن شناسایی استاتیک (Static Detection) Different techniques of bypassing static detection

• نصب ابزار YARA: ابزاری برای شناسایی استاتیک در توسعه بدافزار Installing YARA tool - a static detection tool for malware development

• نحوه استفاده از قوانین YARA برای شناسایی استاتیک در بدافزارها How to use yara rules tool for static detection in malwares

• نحوه مبهم‌سازی (مخفی کردن) رشته‌ها در یک برنامه بدافزار در ویندوز How to obfuscate ( hide ) strings of a malware program in windows

• درک IAT (جدول آدرس وارداتی) یک برنامه Understanding IAT ( Import Address Table ) of a program

• نحوه مبهم‌سازی (مخفی کردن) توابع بدافزار از ورودی‌های IAT در ویندوز How to obfuscate ( hide ) malware program functions from IAT entry in Windows

• نحوه ساخت بدافزار Reverse Shell در ویندوز: توضیح مفاهیم پایه How to create a reverse shell malware in windows - Basic concepts explanation

• توسعه برنامه بدافزار Reverse Shell در ویندوز برای دریافت شل از راه دور Developing the reverse shell malware program in Windows which gives remote shell

• اعمال تکنیک مبهم‌سازی بر روی برنامه بدافزار Reverse Shell ویندوز Applying obfuscation technique to our Windows reverse shell malware program

• دور زدن شناسایی بدافزار ما توسط آنتی‌ویروس Windows Defender Bypassing our malware detection from Windows Defender Antivirus Software