في هذا السلسلة سنقوم بالتعرف على الدوال الغير نمطية في تطوير المالوير والتي تستخدم لتشغيل الشيل كود داخل الذاكرة .
ما هي الدوال الغير نمطية ؟
هي عبارة عن دوال برمجية تستخدم في استخدمات عادية لمبرمج الحاسوب
كنسخ الملفات وعمل مؤقت للمهام وغيرها , ولكن يمكن لمطور المالوير
استغلال هذه الدوال في تشغيل الشيل كود بطرق معينة سنقوم بشرحها في هذه
السلسلة .
لماذا الدوال الغير نمطية ؟
يلجأ مطورو البرامج الخبيثة لاستخدام هذه الدوال لأنها غير شائعة الاستخدام وفي
أغلب الوقت غير مراقبة من قبل البرمجيات الدفاعية لذلك تكون هذه الدوال
فرصة مميزة لتجنب اكتشاف هذه البرمجيات .
الشرح البرمجي :-
ملاحظة : سيتم ترك روابط للتعرف على الدوال بشكل مفصل لأن شرحها هو خارج اطار هذا الدرس.
سنقوم بتشغيل الشل كود باستخدام دالة CopyFile2 وهي دالة تستخدم بالاصل لنسخ الملفات ولكننا سنقوم باستغلالها بطريقة اخرى.
في البداية نقوم بتخزين الشيل كود داخل مصفوفة من نوع unsigned char ومن ثم نقوم بحجز مساحة من الذاكرة بحجم الشيل كود ونخزنها داخل متغير من نوع LPVOID
بعدها ننقل الشيل كود الى مساحة الذاكرة التي قمنا بحجزها عن طريق استخدام دالة RtlMoveMemory
والان نقوم بتعريف متغير من نوع هيكلية بيانات تسمى ب COPYFILE2_EXTENDED_PARAMETERS والتي بدورها تحتوي على عدد من
المتغيرات التي سنقوم بتحديدها عند استدعاء دالة CopyFile2
ونعطي قيمة pProgressRoutine المساحة التي قمنا بحجزها والتي تحتوي على الشيل كود , عند
البدأ بعملية النسخ , سيتم فوراً استدعاء هذه المساحة ومن ثم تشغيل الشيل كود
والان نستدعي دالة CopyFile2 وهي تأخذ 3 مدخلات , اسم الملف الحالي, اسم الملف الجديد
ومؤشر لهيكلية البيانات التي قمنا بتعريفها بالأعلى
نقوم الأن بعمل كومبايل ونشغل البرنامج #️⃣
والى هنا نصل لنهاية هذا الدرس , نلتقي في الجزء القادم .
المصادر #️⃣
