امن افزار رایکا

درباره کتاب Code Deobfuscation and Execution:

کتاب Code Deobfuscation and Execution یک منبع تخصصی و پیشرفته برای تحلیل عمیق کدهای مخرب و فرآیندهای رفع ابهام (Deobfuscation) در بدافزارهاست. این اثر، ادامه مسیر دوره FOR610 SANS بوده و برای متخصصانی طراحی شده که تجربه قبلی در تحلیل بدافزار بر روی ویندوز دارند. نویسنده با استفاده از مثال‌های واقعی و کدهای اسمبلی، تکنیک‌های شناسایی، رمزگشایی و اجرای کدهای مخرب، ساخت امضاهای YARA و ابزارهای خودکارسازی تحلیل را آموزش می‌دهد.

خلاصه کتاب Code Deobfuscation and Execution:

این کتاب با تمرکز بر فرآیند رفع ابهام در کدهای مخرب آغاز می‌شود و تکنیک‌های مورد استفاده توسط بدافزارها برای پنهان‌سازی عملکرد اصلی خود را توضیح می‌دهد. دانشجو با بارگذارهای مخرب (Loaders) که طی اجرا لایه‌های جدیدی از کد مانند Shellcode یا فایل‌های PE را دانلود یا از حافظه استخراج می‌کنند آشنا می‌شود. مثال‌ها شامل استفاده از عملگر XOR، دستور DIV و الگوریتم‌های پیچیده رمزگشایی هستند که در حافظه یا روی دیسک اجرا می‌شوند. بخش‌های بعدی، تغییرات پیشرفته‌تر در تکنیک‌های رفع ابهام را بررسی می‌کنند، از جمله بهره‌گیری از تقسیم با اعداد جادویی برای بهبود عملکرد، استفاده از RC4 برای رمزگشایی بیکن‌های Cobalt Strike و ترکیب چندین فایل برای اجرای کد مخرب. نویسنده با بهره‌گیری از ابزارهایی مانند Ghidra، تفاوت بین کد تولیدشده توسط کاربر و کتابخانه‌ها را نشان می‌دهد و نحوه استخراج محتوای رمزگشایی‌شده به دیسک را آموزش می‌دهد.