جستجو پیشرفته محصولات
0
سبد خرید خالی است.
ورود | ثبت نام
با ورود و یا ثبت نام در زیرزمین سایبری شما شرایط و قوانین استفاده از سرویس‌های سایت را می‌پذیرید.

Encoding برای دور زدن آنتی ویروس

تصویر مقاله Encoding برای دور زدن آنتی ویروس

یکی از تکنیک های خیلی مهم که شما در زمان دور زدن آنتی ویروس باید بلد باشید Encoding هست. در این مقاله Encoding برای دور زدن انتی ویروس سعی کردیم به شما یک توضیح مفید و مختصری رو ارائه بدیم تا درکش کنید و در مسیر رسیدن به اهدافتون ازش استفاده کنید . در ادامه این آموزش هک با ما همراه باشید . چرا که اگر به دنیای امنیت سایبری و نفوذ پیشرفته وارد شده باشید، Encoding یکی از ابزارهای کلیدی برای مخفی کردن داده‌ها و دور زدن مکانیزم‌های شناسایی مثل آنتی‌ویروس یا IDS/IPS است.

تصویر هکر در حال دور زدن آنتی ویروس

Encoding برای دور زدن آنتی ویروس

فرآیند Encoding (رمزگذاری) تبدیل داده‌ها از حالت اصلی به یک فرمت خاص است که بسته به نوع الگوریتم یا نوع رمزگذاری مشخص می‌شود. این فرآیند روی انواع مختلفی از داده‌ها مانند ویدیوها، HTML، آدرس‌های URL، و فایل‌های باینری (مانند EXE و تصاویر) قابل اعمال است. رمزگذاری (Encoding) مفهومی کلیدی است که در اهداف مختلفی از آن استفاده می‌شود، از جمله:

  • کامپایل و اجرای برنامه‌ها
  • ذخیره‌سازی و انتقال داده‌ها
  • پردازش داده‌ها مانند تبدیل فرمت فایل‌ها


اما وقتی بحث به تکنیک‌های دور زدن آنتی‌ویروس‌ها (AV Evasion) می‌رسد، رمزگذاری نقش مهمی در پنهان کردن رشته‌های Shellcode داخل یک فایل باینری دارد. البته صرفاً رمزگذاری کافی نیست، زیرا نرم‌افزارهای آنتی‌ویروس مدرن بسیار هوشمندتر از قبل عمل می‌کنند. این نرم‌افزارها فایل‌های باینری را تحلیل کرده و اگر رشته‌ای رمزگذاری‌شده پیدا کنند، آن را رمزگشایی کرده تا به متن اصلی دسترسی پیدا کنند.

نکات پیشرفته برای دور زدن آنتی‌ویروس با انکودینگ

استفاده از دو یا چند الگوریتم رمزگذاری به صورت هم‌زمان می‌تواند کار تحلیل و شناسایی محتوای مخفی توسط آنتی‌ویروس‌ها را سخت‌تر کند. به عنوان مثال، اگر رشته‌ای مانند "ZERODEY.ir" ابتدا به فرمت هگزادسیمال (Hexadecimal) تبدیل شود و سپس با Base64 رمزگذاری شود، آنتی‌ویروس برای شناسایی آن باید دو مرحله رمزگشایی را انجام دهد.

نکته: اگر از این روش استفاده می‌کنید، باید Dropper (برنامه‌ای که فایل یا کد مخرب را اجرا می‌کند) شما توانایی بازگردانی (Decoding) این رشته‌ها به حالت اولیه را داشته باشد. این فرآیند هم امنیت بیشتر و هم اختفای بهتری برای محتوای مورد نظر فراهم می‌کند.

مطلب پیشنهادی:   آموزش ChatGpt برای هکرها 💀 نحوه استفاده

مثال Encoding برای دور زدن آنتی ویروس

String To Hex

برای مثال در تصویر بالا شما میبینید که ما رشته یا همون متن zerodey.ir رو به حالت Hexadecimal درآوردیم که خروجی برابر با 7a65726f6465792e6972 این مقدار شد و حالا ما میایم و این مقدار رو به Base64 تبدیل میکنیم که یکی از روش های Encoding بسیار پرکاربرد در C2 ها و . . . هست که خروجی تبدیل هگزادِسیمال تصویر بالا به Base64 رو در پایین به شما نمایش میدهیم :

HexToBase64

در تصویر بالا میبینید که ما به عنوان ورودی همون مقدار Hex شده رو وارد کردیم و در خروجی مقدار Encode شده ی Base64 رو دریافت کردیم که اگر بخوایم Decode کنیم یا به اصطلاح به حالت اول برگردونیم این N2E2NTcyNmY2NDY1NzkyZTY5NzI= رو میرسیم به متن zerodey.ir که حالا این متن میتونه یه قطعه کد مخرب نوشته شده توسط هکر باشه که سعی داره اون کد رو از دید آنتی ویروس ها مخفی نگهداره . البته لازم به ذکر هست که آنتی ویروس های بروز مقادیر Encode شده رو به حالت اولیه برمیگردونن و میشه گفت که Encode کردن تنها برای دور زدن آنتی ویروس ها کافی نیست و باید از تکنیک های دیگه هم استفاده کنید که در ادامه این مقالات به این مباحث هم میرسیم که چطوری تمام این موارد رو به صورت عملی جلو ببریم .

الگوریتم های Encoding معروف

base64 : یکی از محبوب‌ترین روش‌های Encoding که برای انتقال داده‌های باینری در قالب متن ASCII استفاده می‌شود.Base64 داده‌ها را به بلوک‌های 6 بیتی تقسیم کرده و هر بلوک را به یکی از 64 کاراکتر ASCII (مثل حروف، اعداد و نمادها) نگاشت می‌دهد. و به دلیل سادگی در پیاده‌سازی و مناسب برای پنهان‌سازی داده‌ها در فایل‌های متنی مثل HTTP Headers یا Email Attachments و پشتیبانی در زبان های برنامه نویسی بسیار محبوب است :

				
					نمونه خروجی تبدیل Hello به Base64
Input:  Hello
Output: SGVsbG8=

				
			

Hexadecimal (Hex): روش دیگری برای رمزگذاری داده‌های باینری به رشته‌های متنی.Hex هر بایت از داده (8 بیت) به دو رقم در سیستم عددی هگزادسیمال (پایه 16) تبدیل می‌شود. , و به دلیل مناسب بود برای مخفی کردن ShellCode,خوانایی بالا برای برنامه نویسان, سازگازی با زبان هایی مانند Python و C محبوب است و نمونه تبدیل رو میتونید ببینید :

 
 

 

 

				
					تبدیل عبارت "Hack" به Hex:
Input:  Hack
Output: 4861636b
				
			

URL Encoding: این روش به طور خاص برای داده‌هایی که در URL‌ها ارسال می‌شوند استفاده می‌شود. در این روش کاراکترهای غیرمجاز در URL (مثل فاصله یا کاراکترهای خاص) با یک درصد (%) و مقدار هگزادسیمال آن جایگزین می‌شوند. هکر ها با استفاده از این تکنیک میتونن Payload های مخرب رو به سرور بدون جلب توجه ارسال کنن, یا مخفی کردن کدهای جاوااسکرپت در حملات XSS و …

مطلب پیشنهادی:   آموزش ساخت بکدور
				
					تبدیل عبارت "Hack the World!" به URL Encoding:
Input:  Hack the World!
Output: Hack%20the%20World%21
				
			

ROT13: یکی از ساده‌ترین روش‌های رمزگذاری که کاراکترها را در الفبا 13 موقعیت به جلو یا عقب می‌چرخاند.در این روش هر حرف الفبای لاتین با حرفی که 13 موقعیت جلوتر است جایگزین می‌شود. این تکنیک مناسب برای پنهان کردن پیام‌, دور زدن سیستم‌های تشخیص کلمات کلیدی (مثل کلمات حساس در چت‌ها) و . . . هست

				
					تبدیل عبارت "Hello" به ROT13:
Input:  Hello
Output: Uryyb
				
			

XOR Encoding: این روش از عملگر XOR برای رمزگذاری داده‌ها استفاده می‌کند. در واقع هر بایت از داده با یک مقدار کلیدی XOR می‌شود. این روش به راحتی قابل رمزگشایی است، اما با یک کلید مناسب می‌تواند کار تحلیل را سخت‌تر کند. کاربرد این روش برای هکرها در رمزگذاری Shellcode برای جلوگیری از شناسایی توسط آنتی‌ویروس و پنهان‌سازی داده‌ها در فایل‌های مخرب و … هست

				
					XOR کردن یک داده با کلید 0xAA:
Input:  0x45 (E)
Key:    0xAA
Output: 0xEF
				
			

ASCII Encoding: یک روش ابتدایی برای تبدیل داده‌ها به متن قابل خواندن در واقع هر بایت داده به کاراکتر معادل آن در جدول ASCII تبدیل می‌شود. کاربرد این روش برای هکرها در ایجاد فایل‌های مخرب با ظاهر بی‌خطر و پنهان سازی کدها در اسناد متنی هست .

				
					تبدیل عدد 72 به ASCII:
Input:  72
Output: H
				
			

Custom Encoding: هکرهای حرفه‌ای اغلب از الگوریتم‌های سفارشی استفاده می‌کنند که تحلیل و شناسایی آن‌ها را دشوارتر می‌کند این روش از ترکیب چند الگوریتم استاندارد (مثل XOR، Base64 و Hex) به همراه تغییرات اختصاصی استفاده میشود .  کاربرد این روش برای هکرها در جلوگیری از تحلیل دستی و خودکار و یا شناسایی‌نشدن توسط موتورهای آنتی‌ویروس هستش مثل دقیقا کاری که در اول مقاله کردیم اومدیم داده رو به Hex تبدیل کردیم و بعد به Base64 .

نتیجه گیری Encoding در دور زدن آنتی ویروس

هر کدام از این روش‌های رمزگذاری، کاربرد خاصی در دنیای واقعی دارند. اما چیزی که حرفه‌ای‌ها را از تازه‌کارها متمایز می‌کند، ترکیب خلاقانه این روش‌ها برای دور زدن لایه‌های مختلف امنیتی است. فعلا خودتو رو آشنا کنید با این روش ها و کار کردن باهاشون تا بعدا در ادامه مقالات به صورت عملی این کار هارو بر روی PE ها یا همون فایل های Exe انجام بدیم . برای آشنایی بیشتر با این روش ها میتونید از وبسایت CyberChef استفاده کنید .

درباره نویسنــده
نویسنده
کورش سنایی
نظرات کاربـــران
فاقد دیدگاه
دیدگاهی برای این مطلب ثبت نشده است. اولین دیدگاه را شما بنویسید.
ثبت دیدگاه
captcha
دوره های هک و امنیت
دوره آموزش ساخت Badusb
1,600,000
70%
480,000 تومان
آموزش
جــدید
18
دانشجو
ابزارهای هک و امنیت
کرکر وردپرس
1,400,000
68%
449,700 تومان
آموزش
جــدید
8
دانشجو
1,499,000
67%
497,000 تومان
100%
رضایت
23
دانشجو
دوره های هک و امنیت
دوره آموزشی Junior Hacker
3,485,000 تومان
100%
رضایت
147
دانشجو
دوره های هک و امنیت
دوره آموزشی Shodan(رایگان)
800,000 تومان
100%
رضایت
836
دانشجو
1,400,000 تومان
100%
رضایت
158
دانشجو