السلام عليكم اخواني
اليوم قررت شرح تحدي مشهور جدا .هو عبارة عن 7 تحديات و سأقوم بشرح التحدي الثالت لكن قبل ان تقوم بقراءة الحل يمكنك المحاولة بنفسك أولا لتختبر قدراتك
المهم الفريق fireEye team سابقا مند 2014 و هو ينزل تحديات كهاته لم يسبق لي صراحة المشاركة فيها live . ان شاء الله نشوف ناس عرب و لما لا من المنتدى يشاركون في المستقبل فالأمر قد يفيد الشبكة .
تتنافس انت و عده أفراد اخرين لحل هاته التحديات في أسرع وقت ممكن
الفريق بهاته التحديات غالبا ما يبحث عن أشخاص موهوبين ليقوم بدعوتهم للفريق الشهير
FLARE On Challenge
لماذا الفريق ينزل هاته التحديات؟
ماذا يحدث إذا أدّيت أداءً جيداً؟
1- الخطوة الأولى
المهم عند تحميل التحدي من الموقع الرسمي نجد 7 ملفات كل واحدة عبارة عن تحدي . لن أتكلم هنا عن التحديين الأول و الثاني لأنهما نسبيا سهلين و سأقفز مباشرة الى الثالث C3.zip
2-الخطوة الثانية
نقوم بفك الملف zip و نجد ملف باسم such.evil بدون امتداد نرميه في die للفحص و نجد انه تم عمل compile له بواسطة tiny c compiler
3-الخطوة الثالثة
نفتح الملف في IDA PRO و تواجهنا هاته الرسالة التي تقول لنا باختصار انا ال import segment معطوبة و هدا دليل على انه تم التلاعب بالملف او ان هناك تشفير و استدعاءات غير مباشرة
هنا نجد انه بالفعل الimport table صغيرة و ليس بها أي شيء مهم لنا
4-الخطوة الرابعة
نبحث عن entry point . لنتجاهل حاليا كل التعليمات لأنها غير مهمة الى غاية وصولنا الى استدعاء اثار انتباهي و هو التالي
وندخل لهاته الفانكشن sub_401000
5-الخطوة الخامسة
نجد تعليمات كثيرة تقوم بنقل hardcoded value الى registers eax كلها عبارة عن 1 byte ثم الى مكان في الستاك مممم interresting
يبدو انه shellcode او شيء من هدا القبيل
يجب أن أدكر انه تم تخصيص 204 بايت في الداكرة هيكس تدكروا هدا الرقم جيدا لأنه سنحتاجه
نقوم بالنزول الى اخر الفانكشن
6-الخطوة الخامسة
سنجد انه تم نقل كل البايتات الى eax و القفز اليها .لدا قمت بكتابه سكريبت صغير لكي اعمل dump للبايتس و أقوم بفتح ida لعمل static analysis
7-الخطوة السابعة
بعد فتح الملف dumped.bin في ida نجد ان ida لم يتعرف بشكل كامل على البايتات على انها تعليمات بل فقط تخصيص لبعض الهكس values في الداكرة
8-الخطوة الثامنة
نقوم بالضغط حرف 'c' في لوحة المفاتيح ليتم عمل reanalysis للملف ونجد هدا الكود أمامنا
باختصار يتم نقل 0x1DF عدد من البايتات ابتداءا من الداكرة 0x00000021 و عمل xor بالرقم 66h و القفز اليها بعد فك التشفير . لدا قمنا بكتابة سكريبت اخر لفك التشفير و وضع الناتج في ملف اخر باسم dumped2_bin
الى هنا نكتفي بهدا القدر لضيق الوقت سأطرح التكملة في موضوع اخر أو سأقوم بالتعديل على الموضوع نفسه
أتمنى أن ينال المحتوى اعجابكم . المحتوى يتطلب مجهود في الكتابة صراحة أصعب من حل التحدي نفسه
لكم الأهم أن يستفيد القارئ و ان شاء الله القادم أجمل
تـــــــــــــــــــــــــــــــــــــــــــحـــــــــــــــــــــــــــــــــياتـــــــــــــــــــــــــــــي
اليوم قررت شرح تحدي مشهور جدا .هو عبارة عن 7 تحديات و سأقوم بشرح التحدي الثالت لكن قبل ان تقوم بقراءة الحل يمكنك المحاولة بنفسك أولا لتختبر قدراتك
المهم الفريق fireEye team سابقا مند 2014 و هو ينزل تحديات كهاته لم يسبق لي صراحة المشاركة فيها live . ان شاء الله نشوف ناس عرب و لما لا من المنتدى يشاركون في المستقبل فالأمر قد يفيد الشبكة .
تتنافس انت و عده أفراد اخرين لحل هاته التحديات في أسرع وقت ممكن
الفريق بهاته التحديات غالبا ما يبحث عن أشخاص موهوبين ليقوم بدعوتهم للفريق الشهير
FLARE On Challenge
- هو CTF سنوي في reverse engineering تنظمه فريق FLARE.
- يركز على malware reversing وWindows internals.
- كل سنة يقدم تحديات صعبة ومتعددة المراحل في reversing.
- ممتاز لتحسين مهاراتك في reversing باستخدام عينات حقيقية من malware.
لماذا الفريق ينزل هاته التحديات؟
- التحديات تختبر مهارات حقيقية: Reverse engineering، تحليل malware، وWindows internals — كلها مهارات حاسمة في مجال cyber defense.
- تُظهر قدرة حل المشاكل: كيف تتعامل وتحل الألغاز الصعبة يعكس طريقة تفكيرك.
- تحديد أفضل المواهب عالمياً: هذه المسابقات تجذب أشخاص مهرة من كل أنحاء العالم، مما يسهل العثور على الأفضل.
- بناء مجتمع وسمعة: شركات مثل FireEye تبني ثقة وسمعة قوية عن طريق استضافة تحديات مفتوحة.
ماذا يحدث إذا أدّيت أداءً جيداً؟
- أحياناً، منظمو التحديات أو الرعاة يتواصلون مباشرة مع أفضل المحللين بعروض عمل أو دعوات لمقابلات.
- اسمك قد يُلاحَظ في مجتمع cybersecurity وعلى منصات مهنية.
- يفتح لك الباب للتدريب، أدوار بحثية، أو وظائف مدفوعة في تحليل malware، وأكثر.
- يضيف مصداقية كبيرة إلى سيرتك الذاتية أو ملفك على LinkedIn.
1- الخطوة الأولى
المهم عند تحميل التحدي من الموقع الرسمي نجد 7 ملفات كل واحدة عبارة عن تحدي . لن أتكلم هنا عن التحديين الأول و الثاني لأنهما نسبيا سهلين و سأقفز مباشرة الى الثالث C3.zip
2-الخطوة الثانية
نقوم بفك الملف zip و نجد ملف باسم such.evil بدون امتداد نرميه في die للفحص و نجد انه تم عمل compile له بواسطة tiny c compiler
3-الخطوة الثالثة
نفتح الملف في IDA PRO و تواجهنا هاته الرسالة التي تقول لنا باختصار انا ال import segment معطوبة و هدا دليل على انه تم التلاعب بالملف او ان هناك تشفير و استدعاءات غير مباشرة
هنا نجد انه بالفعل الimport table صغيرة و ليس بها أي شيء مهم لنا
4-الخطوة الرابعة
نبحث عن entry point . لنتجاهل حاليا كل التعليمات لأنها غير مهمة الى غاية وصولنا الى استدعاء اثار انتباهي و هو التالي
وندخل لهاته الفانكشن sub_401000
5-الخطوة الخامسة
نجد تعليمات كثيرة تقوم بنقل hardcoded value الى registers eax كلها عبارة عن 1 byte ثم الى مكان في الستاك مممم interresting
يبدو انه shellcode او شيء من هدا القبيليجب أن أدكر انه تم تخصيص 204 بايت في الداكرة هيكس تدكروا هدا الرقم جيدا لأنه سنحتاجه
نقوم بالنزول الى اخر الفانكشن
6-الخطوة الخامسة
سنجد انه تم نقل كل البايتات الى eax و القفز اليها .لدا قمت بكتابه سكريبت صغير لكي اعمل dump للبايتس و أقوم بفتح ida لعمل static analysis
7-الخطوة السابعة
بعد فتح الملف dumped.bin في ida نجد ان ida لم يتعرف بشكل كامل على البايتات على انها تعليمات بل فقط تخصيص لبعض الهكس values في الداكرة
8-الخطوة الثامنة
نقوم بالضغط حرف 'c' في لوحة المفاتيح ليتم عمل reanalysis للملف ونجد هدا الكود أمامنا
باختصار يتم نقل 0x1DF عدد من البايتات ابتداءا من الداكرة 0x00000021 و عمل xor بالرقم 66h و القفز اليها بعد فك التشفير . لدا قمنا بكتابة سكريبت اخر لفك التشفير و وضع الناتج في ملف اخر باسم dumped2_bin
الى هنا نكتفي بهدا القدر لضيق الوقت سأطرح التكملة في موضوع اخر أو سأقوم بالتعديل على الموضوع نفسه
أتمنى أن ينال المحتوى اعجابكم . المحتوى يتطلب مجهود في الكتابة صراحة أصعب من حل التحدي نفسه
لكم الأهم أن يستفيد القارئ و ان شاء الله القادم أجملتـــــــــــــــــــــــــــــــــــــــــــحـــــــــــــــــــــــــــــــــياتـــــــــــــــــــــــــــــي
