ايران ويج » هك وكرك و ويروس » نفوذ و امنیت » هك » Exploit
» آنالیز شلکدها - Shellcode

امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
آنالیز شلکدها - Shellcode
نویسنده پیام
godvb غایب
مدیر بازنشسته بخش نفوذ و امنیت
*****

ارسال‌ها: 430
موضوع‌ها: 77
تاریخ عضویت: اسفند ۱۳۸۶

تشکرها : 886
( 1338 تشکر در 343 ارسال )
ارسال: #1
آنالیز شلکدها - Shellcode
به احتمال خیلی زیاد همگی با شلکدها آشنایی داریم.

scdbg ابزاری هست که برپایه libemu برای آنالیز شلکدها ساخته شده است. با این ابزار شلکدها رو emulate کرده و تمامی API های که شلکد میخاد فراخوانی کنه رو نشون میده.

[تصویر: scdbg.png]

خیلی از مقالات درمورد تشخیص شلکدها با emulation نمودن توضیح دادن و حرف زدن اما دریغ از سورس کدی و نمونه عملی!

libemu تصمیم گرفت بجای حرف زدن کمی عمل به خرج بده و در 2007 به زبان C نوشته شده و برای اجرای کدهای x86 و استاتیک آنالیز هست. توسط این Library میتونیم کارهای زیر رو انجام بدیم :
  • تشخیص شل کدها
  • اجرای شل کدها
  • و مستندسازی ویژگی های شل کد

که scdbg این کار رو انجام داده Biggrin

برای تست هم میتونید توی metasploit شلکدتون رو بصورت raw ایجاد کنید و ذخیره کنید و بعد فایل رو بدین برنامه براتون آنالیز کنه.

در پیوست خود ابزار بهمراه شلکدهایی بعنوان Sample وجود داره.

پروژه:
کد:
https://github.com/dzzie/VS_LIBEMU


فایل‌(های) پیوست شده
.zip   scdbg.zip (اندازه: 761.79 KB / تعداد دفعات دریافت: 60)
.zip   sc_samples.zip (اندازه: 8.95 KB / تعداد دفعات دریافت: 149)
آنچه توانسته ایم انجام دهیم، لطف پرودگار بوده است.

XMen For Ever
(آخرین ویرایش در این ارسال: ۲۰-تير-۱۳۹۲, ۱۲:۵۷:۰۰، توسط godvb.)
۲۰-تير-۱۳۹۲, ۱۲:۵۰:۱۶
ارسال‌ها
پاسخ
تشکر شده توسط : hadikh73, Di Di, megatron, babyy, lord_viper, ترانسپورتر, orange signal, رسول, omid_phoenix, nImaarek
babyy آفلاین
بازنشسته
*****

ارسال‌ها: 3,095
موضوع‌ها: 141
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 35081
( 26090 تشکر در 9068 ارسال )
ارسال: #2
RE: آنالیز شلکدها - Shellcode
هرکار کردم دیدم نمیشه به تشکر بسنده کرد Biggrin خیلی نرم افزار جالب و باحالی درست کردند!

واسه اینکه این پستم هم اسپم نشه همونطور که حمید جون فرمودند میشه خروجی متا اسپلویت رو هم آنالیز کرد!
برای مثال:

کد php:
msfpayload windows/shell_bind_tcp R 

که خروجی زیر رو نشون داد و بسی لذت بردیم Biggrin

   
(آخرین ویرایش در این ارسال: ۲۰-تير-۱۳۹۲, ۲۰:۵۷:۳۷، توسط babyy.)
۲۰-تير-۱۳۹۲, ۲۰:۵۶:۵۷
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : ترانسپورتر, orange signal, omid_phoenix
godvb غایب
مدیر بازنشسته بخش نفوذ و امنیت
*****

ارسال‌ها: 430
موضوع‌ها: 77
تاریخ عضویت: اسفند ۱۳۸۶

تشکرها : 886
( 1338 تشکر در 343 ارسال )
ارسال: #3
RE: آنالیز شلکدها - Shellcode
(۲۰-تير-۱۳۹۲, ۲۰:۵۶:۵۷)babyy نوشته است: هرکار کردم دیدم نمیشه به تشکر بسنده کرد Biggrin خیلی نرم افزار جالب و باحالی درست کردند!

از msfencode هم درکنارش استفاده میکردی خروجی که نشون میده جالبتر بشهWink

و جالبتر اینکه libemu هم Open SOurce هست، و براحتی میتونین توی پروژه های آنالیز ها مورد استفاده قرار بگیره که scdbg یکی از برنامه های که براساس libemu ساخته شده!

در پیوست هم call graph از بدافزار SQLSlammer میبینیم که توسط libemu بدست اومده.

نمونه رو گذاشتم که بدونیم چه کارها میشه کرد.


فایل‌(های) پیوست شده بندانگشتی (ها)
   
آنچه توانسته ایم انجام دهیم، لطف پرودگار بوده است.

XMen For Ever
(آخرین ویرایش در این ارسال: ۲۰-تير-۱۳۹۲, ۲۱:۲۴:۳۳، توسط godvb.)
۲۰-تير-۱۳۹۲, ۲۱:۲۰:۱۲
ارسال‌ها
پاسخ
تشکر شده توسط : ترانسپورتر, babyy, orange signal, Di Di, lord_viper
ترانسپورتر آفلاین
کاربر با تجربه
****

ارسال‌ها: 714
موضوع‌ها: 61
تاریخ عضویت: آبان ۱۳۸۹

تشکرها : 4435
( 3658 تشکر در 1648 ارسال )
ارسال: #4
RE: آنالیز شلکدها - Shellcode
(۲۰-تير-۱۳۹۲, ۱۲:۵۰:۱۶)godvb نوشته است: به احتمال خیلی زیاد همگی با شلکدها آشنایی داریم.

نه نداریمBiggrin

بی زحمت میشه یکم بیش تر توضیح بدید؟
۲۰-تير-۱۳۹۲, ۲۳:۱۷:۱۲
ارسال‌ها
پاسخ
godvb غایب
مدیر بازنشسته بخش نفوذ و امنیت
*****

ارسال‌ها: 430
موضوع‌ها: 77
تاریخ عضویت: اسفند ۱۳۸۶

تشکرها : 886
( 1338 تشکر در 343 ارسال )
ارسال: #5
RE: آنالیز شلکدها - Shellcode
(۲۰-تير-۱۳۹۲, ۲۳:۱۷:۱۲)ترانسپورتر نوشته است: نه نداریمBiggrin

بی زحمت میشه یکم بیش تر توضیح بدید؟


در لینک زیر آموزش اکسپلویت و شلکد هست که در صفحه 4 در باره شلکد توضیح داده:
کد:
http://www.iranled.com/forum/thread-15821.html

مناسب دیدم که تاپیک جدا بزنم تا دوستانی که میخان شاید با سرچ کردن به نتیجه برسند. و در آدرس زیر توضیحات مختصری درمورد شل کدها میخونین.
کد:
http://www.iranled.com/forum/thread-26392.html
آنچه توانسته ایم انجام دهیم، لطف پرودگار بوده است.

XMen For Ever
۲۱-تير-۱۳۹۲, ۱۴:۲۴:۵۴
ارسال‌ها
پاسخ
تشکر شده توسط : babyy, ترانسپورتر, lord_viper, omid_phoenix


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 3 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS