1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

Ring0 hook - الهوك الأكثر تقدم ماهو Part1

الموضوع في 'حماية الأجهزة' بواسطة unCoder, بتاريخ ‏23 مارس 2013.

كاتب الموضوع : unCoder المشاهدات : 889 الردود : 5 ‏23 مارس 2013
حالة الموضوع:
مغلق
  1. غير متصل

    unCoder
    rank
    Developer

    عضو منذ:
    ‏3 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    الإقامة:

    [​IMG]

    R I N G (Zer0) H O O K
    kernel-mode hooking

    في ملاحظة تقدم مستمر لمستوى المواضيع في القسم
    وخصوصا حول الهوك من طرف أخي العزيز سيمون وغيره من الأعضاء
    فأعتقد أن الباب مفتوح لكل الأعضاء للتقدم في هذا المجال بالإضافة أن المواضيع اللتي تم وضعها حول الهوك والروت كت تضعكم على ماهو أكثر من المقدمة

    [COLOR=Teal]فيجب أن نستعد لمرحلة جديدة ومتقدمة [/COLOR][SIZE=3][COLOR=Teal]في هذا المجال الرائع [/COLOR]
    [SIZE=3][SIZE=3][/SIZE][/SIZE][/SIZE]

    [​IMG]

    بعد أن نكون على إطلاع كافي وإستعداد تام لعمل هوك على أي دالة تخطر في رأسك
    فأنت مستعد للخوض في هذا الصراع فهنا لن نستخدم إلا الناتيف [ Native ]

    في البداية يجب أن نعلم بأن النظام ينقسم إلى :

    Ring3 : Usermode
    Ring2
    Ring1
    Ring0 : kernelmode

    الـ Ring3 وهو رينق اليوزر مود هي الطبقة اللتي نعمل عليها وكل الهوكات السابقة كانت عليها
    لكن لماذا تم تقسيم النظام بهذا الشكل ؟ كما نعلم أن نواة النظام (ntoskrnl.exe) لو تعاملنا معها بشكل مباشر فأي خطأ قد يخل بالنظام كامل ويتسبب في سقوطه لذلك تم تقسيم النظام بهذا الشكل فالأخطاء في الرينق3 لن تتسبب في إطاحة النظام بأكمله

    [​IMG]

    كيف يعمل النظام حيث الـ API Calls ؟

    لنأخد على سبيل المثال دالة ResumeThread
    فعند مانريد إستدعاء هذه الدالة نبدء بإستدعائها من kernel32

    فما اللذي يحدث هل فعلا يتم تنفيذها والتعامل مع المعالج من هنا مباشرة بالطبع لا .. فالكيرنل ( نواة الوندوز ) هي ماتقوم بكل هذا لكن كيف يصل الإستدعاء لها

    يتم نقل الإستدعاء من kernel32 إلى الناتيف الخاص بالدالة في ntdll
    NtResumeThread

    ثم كل مايحدث في الـ ntdll هو تجهيز البارمترات وفتح باب الدخول للـRING0
    عن طريقة دالة KiFastSystemCall
    لو نقحنا مايحدث خلال الإستدعاء سنرى طريقة إستدعاء هذه الدالة بكل بساطة



    [​IMG]

    فكنا نرى يتم وضع رقم الدالة في EAX
    ثم يتم عمل إجراءات إستدعاء الدالة

    وماتنفذه هذه الدالة بالفعل هي نقل البارمترات إلى المسجل EDX ثم نقل العملية إلى النواة عن طريق
    SYSENTER - SYSCALL - INT 2E ..
    وتختلف العملية من نظام لاخر

    [​IMG]


    [​IMG]

    اما الآن فقد وصلنا لل Ring0
    فما اللذي يحدث هنا

    في هذه المرحلة تكون الدوال موجودة ومرتبة في مايدعى بالـ SSDT
    System Service Descriptor Table
    الموجودة في ( ntkrnlpa.exe )
    وهي النواة المسوؤلة عن أغلب apis الوندوز

    فيتم تمرير الإستدعاء للدالة KiFastCallEntry في النواة واللتي يتم وضعها ادرسها
    عند البوت في > IA32_SYSENTER_EIP طبقة الـ MSR
    ثم عند إستدعائها يبدء البحث عن الدالة في الـ SSDT ومن ثم إستدعائا

    كما توجد أداة رائعة من عمل فريق AT4RE تمكنك من الإطلاع على محتوى SSDT
    إسم الأداة Kernel Detective



    [​IMG]

    فكنا نرى الآن هذا محتوى الـ SSDT واللذي يحتوي على رقم وعنوان وادرس الدالة الاصلي والحالي بالإضافة إلى الموديول ( الدرايفر ) اللذي يحتوي الدالة

    درايفر ( Driver ) ?

    نعم , كنا في اليوزر مود نتعامل بالـ dll librarys اما في النواة فسنبدء بالتحول إلى الدرايفر
    Device Driver > x.sys

    كما نلاحظ في الصورة السابقة أنه توجد دالة حمراء اللون ما السبب ؟
    كما أن الدرايفر المسؤول عنها مختلف , وهو درايفر الأفسات بالإضافة إلى ادرسها الحالي مختلف عن الأصلي

    فنستنتج أنه لعمل هوك في الكرنل مود نحتاج لعمل درايفر يحمل دالتنا ونغير ادرس الدالة المطلوبه في الـ SSDT إلى ادرسنا المطلوب .


    [​IMG]

    في الدرس القادم سنتطرق لكيفية برمجة الدرايفر وتحميله للنواة ومخاطره
    بالإضافة للوصول للـ SSDT والتعديل عليها وعمل الهوك وغيرها من التفاصيل المشوقة

    إضافة :
    الحمايات تستخدم هذا النوع من الهوك وهو آخر امتداد(مرحلة) للهوك في الوندوز

    بعض الملاحظات :

    الـring0 يختلف تماما عن الـ ring3 ومنعزل عنه فهو يملك الذاكرة الخاصة به فلايمكننا الوصل لذاكرته من الرينق3


    وايضا ماتكلمنا عنه اليوم لايمكن تلخيصه وإستيعابه في موضوع واحد فلابد من المزيد من البحوثات والقراءة فالموضوع أكبر من ذلك لدى رجاءآ لاتتوقفوا عند هذا الموضوع

    هنا ينتهي درسنا لليوم وأتمنى أن ينال على إعجابكم
    والسلام عليكم ورحمة الله وبركاته
     


    جاري تحميل الصفحة...
  2. غير متصل

    Shдd0w
    rank
    Developer

    عضو منذ:
    ‏9 ديسمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    الوظيفة:
    xXxXx
    الإقامة:

    رد: Ring0 hook - الهوك الأكثر تقدم ماهو Part1

    يا رجل يا ذيب ..:{17}:

    شكراً لك يا بطل
     


  3. غير متصل

    ś‡òÞ Ħąć
    rankrank
    Developer

    عضو منذ:
    ‏20 مارس 2013
    عدد المشاركات:
    الإعجابات المتلقاة:
    5
    نقاط الجائزة:

    رد: Ring0 hook - الهوك الأكثر تقدم ماهو Part1

    موضوع أكثر من رائع
    جزاك الله خيرا
    دمت بود :{12}:​
     


  4. غير متصل

    win-hacker
    rank
    Developer

    عضو منذ:
    ‏1 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    الإقامة:

    رد: Ring0 hook - الهوك الأكثر تقدم ماهو Part1

    شكرا لك يا غالي​
     


  5. غير متصل

    slam
    ExpErt DeveloPer

    عضو منذ:
    ‏14 سبتمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    5
    نقاط الجائزة:
    الإقامة:

    رد: Ring0 hook - الهوك الأكثر تقدم ماهو Part1

    جزاك الله كل خير ,
    مجهود رائع سلمت الايادي
     


  6. غير متصل

    ҢącҜęЯ .:: <font color="#669999"><b>أستاذ مشارك</b></font
    rankrank
    Developer

    عضو منذ:
    ‏26 ديسمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الوظيفة:
    مكتشف ثغرات
    الإقامة:

    رد: Ring0 hook - الهوك الأكثر تقدم ماهو Part1

    ما شاء الله يا حبيبي
    سلمت يداك يا اخى
    فى تقدم :{1}:
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...