نصائح في مجال ال Malware analysis

[SeGNMeNT]

في مجال ال malware analysis عندما تدخله وترى كيف يتم كتابة الفيروسات وتبدا بكتابة فيروس يعمل في الكيرنل مود(حتى لو كان بسيط) لن تتعلم فقط ذلك بل ستتعلم
اشياء كثيرة غيره كالتعرف على  بنية النظام و كتابة ال Drivers  و تحليله وهنا بعض النصائح لكي تدخله
يجدر ان تفهم ال Internals ل platform التي تريد ان تتعمق فيها
ليس من الضرورة ابدا ان تكون محترف بالاسمبلي او  Reverse engineering  ولكن اكيد يجب ان تكون خبرتك جيدة جدا  بلغة عالية المستوى ك C
معظم الفيروسات والدرايفرز يتم كتابتها بال C/C++
أفضل مرجع للمبتدئين هو كتاب Practical malware analysis  طبعا هاد الكتاب بيبدا من الأساسيات و بيعلمك اشياء عن Kernel debugging
الكتاب لايعني نهاية المطاف لانه لم يشرح عن Ransomware أو لايوجد شرح كبير عن Kernel rootkit او Kernel Debugging
ارى افضل كتابة بالنسبة للمبتدئين كتاب Practical malware analysis
وارى افضل طريق للتعلم على بنية النظام  بالنسبة للويندوز هي  Windows Kernel debugging (WinDBG Support that) ستتعرف على كل الدرايفرز التي يحملها الويندوز حين يقلع وبامكانك ان تضع تقطا توقف  على الدوال Windows API Functions
وسترى التاثير الذي ياثر على الكيرنل مود حين اليوزر مود يطلب Windows API 
أمثلة مفتوحة المصدر عن Rootkit بامكأنك أن تعرف على أي نظام تشغيل من الرابط أقصد قسم منهم هكذا
المقصود من الامثلة ليس  فقط ان تنزل المثال ثم Build ثم تشغله بل ان قسم من الكتاب قد وضوعو شرح للمثال الخاص بهم وبعضهم وضع روابط مقالات


https://github.com/Cr4sh/WindowsRegistryRootkit
 https://github.com/mempodippy/vlany
 http://www.ussrback.com/UNIX/penetration/rootkits/
 https://github.com/Alifcccccc/Windows-Rootkits
 https://github.com/chokepoint/azazelhttps://packetstormsecurity.com/files/12...otkit.html
 https://github.com/islamTaha12/Python-Rootkit
 https://github.com/Eterna1/puszek-rootkit
 https://github.com/juxing/AdoreForAndroid
 https://github.com/HackerFantastic/Publi...r/rootkits
 https://github.com/m0nad/Diamorphine
 https://github.com/maK-/maK_it-Linux-Rootkit
 https://github.com/RagingGrim/Rootkit/tr...er/Rootkit
 https://github.com/NexusBots/Umbreon-Rootkit
 https://github.com/josephjkong/designing-bsd-rootkits
 https://github.com/citypw/suterusu/
 https://citypw.blogspot.gr/2014/08/an-aw...erusu.html
 https://github.com/Cr4sh/WindowsRegistryRootkit
 https://packetstormsecurity.com/files/13...otkit.html
 https://github.com/JReFrameworker/JReFrameworker
 https://packetstormsecurity.com/files/12...otkit.html
 https://packetstormsecurity.com/files/11...kdoor.html
 https://packetstormsecurity.com/files/10...-2012.html
 https://github.com/chokepoint/Jynx2https://packetstormsecurity.com/files/11...ase-2.html
 https://packetstormsecurity.com/files/25...0.zip.html
 https://github.com/bones-codes/the_colonel
 https://github.com/x0r1/jellyfish
 https://github.com/ecume/simple-rootkit
 https://github.com/Nervous/GreenKit-Rootkit
 https://github.com/cloudsec/brootkit
 https://github.com/unix-thrust/beurk
 https://github.com/NextSecurity/Gozi-MBR-rootkit
 https://github.com/rbertin/basic-rootkit
 https://github.com/miagilepner/porny
 https://turbochaos.blogspot.gr/2013/09/l...-of-3.html

  https://github.com/matteomattia/moo_rootkit
 https://github.com/ivyl/rootkit
 https://github.com/enzolovesbacon/inficere
 https://github.com/hiteshd/Android-Rootkit
 https://github.com/QuokkaLight/rkduck
 https://github.com/0xroot/whitesnow
 https://github.com/falk3n/subversive
 https://github.com/nnewson/km/tree/master/src
 https://github.com/Cr4sh/DrvHide-PoC
 https://github.com/Christian-Roggia/open...er/rootkit
 https://github.com/PoppySeedPlehzr/rooki...r/rootkits
 https://github.com/a7vinx/liinux
 https://github.com/osiris123/CDriver_Loader
 https://github.com/varshapaidi/Kernel_Rootkit
 https://github.com/karol-gruszczyk/win-rootkit
 https://github.com/hanj4096/wukong
 https://github.com/uzyszkodnik/rootkit
 https://github.com/kacheo/KernelRootkit
 https://github.com/rvillordo/libpreload
 https://github.com/soad003/rootkit
 https://github.com/NinnOgTonic/Out-of-Si...nd-Rootkit
 https://github.com/HeapLock/THOR
 https://github.com/ring-1/zendar
 https://github.com/amanone/amark
 https://github.com/majdi/deadlands
 https://github.com/cccssw/JynKbeast
 https://github.com/joshimhoff/toykit
 https://github.com/pasv/Z34107
 https://github.com/maK-/Keylogger-lkm
 https://github.com/Aearnus/syscall-rootkit
 https://github.com/schischi/slrk
 https://github.com/bhassani/Alina/tree/master/Rootkit
 https://github.com/jiayy/lkm-rootkit
 https://github.com/ChristianPapathanasio...he-rootkit
 https://github.com/ChristianPapathanasio...-Mindtrick
 https://github.com/elfmaster/kprobe_rootkit
 https://github.com/ah450/rootkit
 https://github.com/Jyang772/HideProcessHookMDL
 https://github.com/Aarons100/Rootkits-Playground
 https://github.com/dluengo/yarr
 https://github.com/NotALaser/trk
 https://github.com/NoviceLive/research-rootkit
 https://github.com/t0t3m/AFkit
 https://github.com/dsmatter/brootus
 http://github.com/kevinkoo001/rootkit
 https://github.com/nnedkov/swiss_army_rootkit
 https://github.com/David-Reguera-Garcia-Dreg/enyelkm
 https://github.com/m0hamed/lkm-rootkit
 https://github.com/elfmaster/skeksi_virus
 https://github.com/cranklin/cranky-data-virus
 https://github.com/mempodippy/cub3
 https://github.com/bytecode77/r77-rootkit
 https://github.com/XShar/simple_rootkit_...s_fork_r77


Bootkit (bootloaderKit)
Rootkit
Ransomware
Windows Kernel debugging
WinDbg
Windows kernel debugging with WinDbg
Driver
Windows Drivers
Programming dirver for Windows
Linux rootkit

[محمدكمال]

السلام عليكم اخي
 

ارى افضل طريق للتعلم على بنية النظام  بالنسبة للويندوز هي  Windows Kernel debugging (WinDBG Support that) ستتعرف على كل الدرايفرز التي يحملها الويندوز حين يقلع وبامكانك ان تضع تقطا توقف  على الدوال Windows API Functions
وسترى التاثير الذي ياثر على الكيرنل مود حين اليوزر مود يطلب Windows API 

ممكن تشرح اكثر لو تكرمت وهل من مراجع محددة لدراسة هده الجزىيات لو سمحت

الف شكر