نوشته های R3v3rse

چرا یک تحلیلگر بدافزار، عاشق CTF می‌شود؟

R3v3rse — Wed, 10 Jun 2026 00:08:24 +0330

بیایید صادق باشیم. کار تحلیلگر بدافزار گاهی خیلی خسته‌کننده است.هر روز یک فایل مشکوک می‌آید. اسمش را می‌گذارم update.exe یا invoice.pdf.exe. آن را می‌اندازم در دیباگر. یک عالمه دستور اسمبلی می‌بینم، یک مشت API عجیب، یک سری رشته‌های به هم ریخته که به نظر بی‌معنی می‌آیند. بعد از چند ساعت، می‌فهمم که این بدافزار دارد اطلاعات را به یک سرور خارجی می‌فرستد. تمام. قصه همین است.تکرار. ملال. خستگی.بعد از مدتی، حس می‌کنی داری یک کارگر خط مونتاژ می‌شوی. نه یک محقق، نه یک کارآگاه. فقط یک نفر که دارد بایت‌ها را می‌خواند و گزارش می‌نویسد.اینجا است که سراغ CTF می‌روم.CTF یا «پرچم را بگیر» یک جور مسابقه امنیتی است. چند تا چالش می‌دهند به تو. مثلاً یک فایل عجیب، یا یک ارتباط شبکه، یا یک برنامه که باید رمزش را پیدا کنی. در انتها یک «پرچم» – که همان یک رشته مثل FLAG{...} است – پیدا می‌کنی و امتیاز می‌گیری.اما چرا یک تحلیلگر بدافزار به این احتیاج دارد؟ مگر خود کارِ روزانه، چالش نیست؟فرق بزرگ: بدافزار از روی بدجنسی ساخته می‌شود، اما CTF از روی بامزگی.در بدافزار واقعی، طرف می‌خواهد تو را گول بزند. کثیف کاری می‌کند. کد اضافه می‌گذارد. تابع بی‌استفاده می‌نویسد. کار را طوری می‌کند که تو خسته شوی و ول کنی.اما در CTF، طراح چالش با تو قهرمان است. او می‌خواهد تو یاد بگیری. می‌خواهد تو لذت ببری. هر بایت، هر دستور، هر نکته‌ای که در چالش می‌گذارد، یک «معمای دوستانه» است، نه یک «تله مرگبار».انگار یک نفر دارد به تو می‌گوید:«هی، بیا ببینم چقدر زرنگی؟ یک کم فکر کن، یک کم بچرخ، آخرش بهت جایزه می‌دهم.»این حس را در بدافزارهای واقعی گم می‌کنی. آنجا طرف فقط می‌خواهد پول درآورد یا جاسوسی کند. هیچ احترامی به تو به عنوان یک تحلیلگر نمی‌گذارد.CTF مثل یک تمرین ذهن‌آرام است.در یک چالش خوب Forensics (بازسازی دیجیتال)، یک فایل ضبط شبکه به تو می‌دهند. هزاران بسته داده. هیچ توضیحی نیست. باید خودت بفهمی چه خبر است. یک ساعت زل می‌زنی به صفحه. ناگهان یک بسته عجیب می‌بینی. پیلودش را که نگاه می‌کنی، با FLAG{ شروع می‌شود.آن لحظه… وای از آن لحظه.دلت می‌خواهد بزنی زیر میز. دلت می‌خواهد فریاد بزنی: «پیدات کردم!»این حس، همان چیزی است که ما تحلیلگرها را سرکار نگه داشته است. همان لذت «کشف کردن»، نه «گزارش دادن».بعد از یک CTF، برگرد به بدافزار واقعی… جور دیگری نگاهش می‌کنی.بعد از اینکه یک هفته چالش زدی، دوباره که می‌نشینی پای یک بدافزار تازه، دیگر فقط یک «مشکل امنیتی» نمی‌بینی. یک «معما» می‌بینی. ذهنت بازتر شده. صبورتر شده. یادت آمده که پشت هر خط کد، یک انسان هست. حتی آن انسان اگر دزد باشد، باز هم یک جور طراح است.CTF به من یاد داد که اگر با حوصله و عشق جلو بروی، حتی کثیف‌ترین بدافزارها هم یک «لحظه آهان» دارند. یک جایی که می‌فهمی چرا آن طور نوشته شده. یک جایی که به خودت می‌گویی: «هاها، چه جالب. اینجایش را دوست دارم.»حرف آخر (که مهم است):اگر تحلیلگر بدافزار هستی و احساس می‌کنی یک ماشین خسته شده‌ای، برو یک CTF ساده ثبت نام کن. نه برای بردن. نه برای امتیاز. فقط برای اینکه دوباره ببینی «چالش امنیتی» می‌تواند شیرین باشد.اگر تازه‌کاری، اصلاً نگران نباش. از چالش‌های ساده شروع کن. حتی اگر یک چالش را حل نکنی، فقط خوردن به دیوارهایش، ذهنت را آماده می‌کند.چون راستش، یک تحلیلگر بدون عشق به معما، زود فرسوده می‌شود. و CTF، تنها جایی است که معمای امنیتی، با لبخند طراحی شده است.پ.ن :بدافزار مثل دعوای خیابانی است.CTF مثل یک بازی بوکس با یک دوست.برای اینکه در دعوای خیابانی کم نیاوری، گاهی باید بروی بوکس بازی کنی. همین.ممنون میشم اگه دونیت کنین >>>>>>=====>>>> https://daramet.com/r3v3rse

نبوغ در تاریکی؛ چرا ذهن‌هایی که می‌توانستند جهان را بسازند، بدافزار می‌نویسند؟

R3v3rse — Wed, 03 Jun 2026 17:57:12 +0330

وقتی نام «بدافزار» را می‌شنویم، اولین تصویر معمولاً خسارت، هک شدن، سرقت اطلاعات و آشوب دیجیتال است. رسانه‌ها اغلب از بدافزارها به‌عنوان هیولاهای دنیای فناوری یاد می‌کنند؛ برنامه‌هایی که ساخته شده‌اند تا سیستم‌ها را مختل کنند، داده‌ها را بدزدند و اعتماد دیجیتال را از بین ببرند.اما پشت هر بدافزار یک واقعیت کمتر گفته‌شده وجود دارد:یک ذهن انسانی.این ذهن‌ها از نظر فنی درخشان‌اند.این جمله ممکن است ناراحت‌کننده به نظر برسد، اما انکار آن دشوار است. بسیاری از بدافزارهای پیشرفته نتیجه دانش بسیار عمیق در حوزه‌هایی مانند معماری سیستم‌عامل، شبکه‌های کامپیوتری، مهندسی معکوس و رمزنگاری هستند. نوشتن کدی که بتواند ماه‌ها در یک سیستم پنهان بماند، از لایه‌های مختلف امنیتی عبور کند و همچنان کنترل کامل سیستم را در دست بگیرد، کار یک برنامه‌نویس مبتدی نیست.گاهی پژوهشگران امنیت سایبری برای درک ساختار یک بدافزار پیشرفته هفته‌ها یا حتی ماه‌ها زمان صرف می‌کنند. آن‌ها کد را تحلیل می‌کنند، رفتار آن را بررسی می‌کنند و سعی می‌کنند بفهمند سازنده آن چگونه فکر کرده است.در اینجا یک پرسش فلسفی شکل می‌گیرد:آیا می‌توان مهارت سازندگان بدافزار را دید، بدون آنکه تخریب آن‌ها را توجیه کنیم؟پارادوکس نبوغ و تخریبتاریخ فناوری پر از پارادوکس است. همان دانش و خلاقیتی که می‌تواند ابزارهای خارق‌العاده بسازد، قادر است ابزارهای خطرناک نیز خلق کند.یک برنامه‌نویس بسیار ماهر می‌تواند سیستم‌های امن طراحی کند، یا همان دانش را برای پیدا کردن و سوءاستفاده از ضعف‌های آن‌ها به کار ببرد. از نظر فنی، هر دو مسیر نیازمند درک عمیق از سیستم‌ها هستند.در واقع بسیاری از متخصصان امنیت سایبری اعتراف می‌کنند که برای دفاع از سیستم‌ها، باید مثل مهاجمان فکر کنند.آن‌ها باید بدانند:یک هکر چگونه فکر می‌کندیک بدافزار چگونه پنهان می‌شودو یک حمله از کجا آغاز می‌شودبه همین دلیل است که در دنیای امنیت سایبری گاهی گفته می‌شود:«برای ساختن سپر، باید شمشیر را هم بشناسی.»علم خنثی است، انتخاب انسان نهیکی از بحث‌های قدیمی در فلسفه فناوری این است که آیا دانش ذاتاً خوب یا بد است.بسیاری از فیلسوفان معتقدند دانش و فناوری در ذات خود خنثی‌اند. این انسان‌ها هستند که با تصمیم‌هایشان جهت اخلاقی آن را تعیین می‌کنند.همان دانشی که می‌تواند یک بدافزار پیچیده ایجاد کند، می‌تواند برای ساخت سیستم‌های دفاعی، کشف آسیب‌پذیری‌ها و محافظت از زیرساخت‌های حیاتی استفاده شود.به بیان ساده‌تر:کد به خودی خود اخلاق ندارد.اما استفاده از آن اخلاقی یا غیراخلاقی می‌شود.چرا بعضی از بااستعدادترین برنامه‌نویسان به سمت بدافزار می‌روند؟این سؤال ساده به نظر می‌رسد، اما پاسخ آن پیچیده است.در بسیاری از موارد، انگیزه‌ها ترکیبی از چند عامل هستند:کنجکاوی فنیبرای برخی افراد، شکستن یک سیستم پیچیده شبیه حل یک معمای بسیار دشوار است.قدرتتوانایی نفوذ به سیستم‌های بزرگ می‌تواند حس کنترل و قدرت ایجاد کند.پولبسیاری از بدافزارهای امروزی در اقتصاد زیرزمینی اینترنت ساخته می‌شوند.ایدئولوژی یا سیاستدر برخی موارد بدافزارها به ابزار جنگ سایبری تبدیل می‌شوند.اما در پشت همه این انگیزه‌ها یک عنصر مشترک وجود دارد:چالش ذهنی.برای برخی برنامه‌نویسان، پیدا کردن راهی برای عبور از یک سیستم پیچیده نوعی بازی ذهنی است؛ بازی‌ای که متأسفانه گاهی پیامدهای واقعی و سنگینی برای دیگران دارد.بدافزارها به‌عنوان آینه تاریک فناوریشاید بتوان بدافزارها را «آینه تاریک فناوری» نامید.آن‌ها نشان می‌دهند که پیشرفت فناوری همیشه دو چهره دارد.هرچه سیستم‌ها پیچیده‌تر می‌شوند، ابزارهای سوءاستفاده نیز پیچیده‌تر می‌شوند. هرچه امنیت قوی‌تر می‌شود، روش‌های دور زدن آن نیز قوی تر می‌شود.این یک رقابت دائمی است:میان سازندگان سیستم‌ها و کسانی که می‌خواهند آن‌ها را بشکنند.نگاه فلسفی: مسئله فقط فناوری نیستوقتی درباره بدافزار صحبت می‌کنیم، اغلب تمرکز ما روی کد، شبکه و تکنولوژی است. اما شاید مسئله اصلی جای دیگری باشد.بدافزارها در نهایت محصول تصمیم‌های انسانی هستند.پشت هر خط کد، یک انتخاب وجود دارد.انتخاب میان ساختن یا تخریب.نتیجه‌گیری: نبوغ، وقتی جهتش را گم می‌کندشاید عجیب به نظر برسد، اما بعضی از بدافزارها از نظر مهندسی نرم‌افزار شاهکارهای پیچیده‌ای هستند. با این حال، این پیچیدگی فنی به معنای ارزش اخلاقی نیست.نبوغ، وقتی در خدمت تخریب قرار بگیرد، همچنان نبوغ است؛ اما نبوغی که جهتش را گم کرده است.فلسفه بدافزارها شاید در نهایت ما را به یک حقیقت ساده برساند:فناوری آینده را شکل می‌دهد،اما این انسان‌ها هستند که تصمیم می‌گیرند آن آینده ساخته شود یا شکسته.لینک دونیت 🤘🏻🤘🏻 : https://daramet.com/r3v3rse

سکوت درون سیم‌ها: مرثیه‌ای برای کِرم‌ها

R3v3rse — Thu, 28 May 2026 11:10:33 +0330

یک تحلیل فنی از خودمختارترین قاتلان شبکهدر دنیای امنیت سایبری، ما تحلیلگرانِ بدافزار، پزشکانِ جنازه‌های دیجیتالیم. ما به دنبال نشانه‌هایی از «بودنِ» چیزی هستیم که نباید باشد. اما در میان تمام تهدیدات، یک پدیده وجود دارد که بیش از آنکه یک چالش فنی باشد، یک آینه‌ی تمام‌نما از هرزگیِ مدرن است: کرم (Worm).کرم‌ها صرفاً بدافزار نیستند؛ آن‌ها خودمختارترین قاتلان شبکه هستند. آن‌ها نیامده‌اند تا فساد کنند یا باج بگیرند، آمده‌اند تا حرکت کنند. فقط حرکت کنند. و در این حرکت بی‌پایان، تمام هستیِ دیجیتال تو را با خود می‌برند.کرم یک قطعه کد خودتکثیرشونده است که بر خلاف ویروس، نیازی به چسبیدن به فایل میزبان ندارد. بردار نفوذ آن معمولاً یک حفره امنیتی در لایه شبکه است، مثل آسیب‌پذیری معروف EternalBlue در پروتکل SMB. مکانیسم تکثیر در کرم‌ها به صورت حلقه بی‌نهایت طراحی شده: یک گره جدید پیدا کن، کد خود را کپی کن، به حافظه آن حمله کن، دوباره شروع کن. نمونه کلاسیک Morris Worm در سال 1988 تنها با 99 خط کد، نزدیک به ده درصد از کل اینترنت آن زمان را از کار انداخت. کرم‌های مدرن از تکنیک Polymorphism استفاده می‌کنند؛ یعنی هر بار که تکثیر می‌شوند، امضای کد خود را تغییر می‌دهند و آنتی‌ویروس‌های سنتی را عملاً کور می‌کنند. آنها نیازی به کاربر ندارند. نیازی به کلیک ندارند. نیازی به اشتباه تو ندارند. فقط نیاز به یک پورت باز دارند. یک درِ نیمه‌باز. یک لحظه غفلت.و این دقیقاً جایی است که ترس شروع می‌شود.تصور کن نیمه‌شب در مرکز داده، چراغ‌های سرور یکی‌یکی خاموش نمی‌شوند، بلکه یکی‌یکی جیغ می‌کشند. فن‌ها با صدایی شبیه به استخوان‌خردکن می‌چرخند و تو فقط می‌توانی تماشا کنی. ترسناک‌ترین لحظه برای یک تحلیلگر، لحظه‌ای نیست که کرم شناسایی می‌شود. ترسناک‌ترین لحظه، لحظه‌ای است که می‌بینی کرم هوشیاری از خود نشان داده و لاگ‌های نظارتی را قبل از حمله پاک کرده است. انگار به تو نگاه کرده و گفته: «می‌دانستم می‌آیی.» تاریکی واقعی آنجاست که کرم وارد سیستم‌هایی می‌شود که اصلاً نباید آنلاین باشند: دستگاه اکسیژن بیمارستان، کنترلر ترمز قطار، سیستم سوخت‌رسانی نیروگاه هسته‌ای. انگار که مرگ، یک ایمیل نفرستاده، بلکه از لوله کابل کشیده آمده تا گوش تو زمزمه کند که هیچ‌جا امن نیست.و در همان لحظه، سوال فلسفی خودش را تحمیل می‌کند: آیا موجودی که فقط برای تکثیر طراحی شده، از یک انسان تشنه‌ی قدرت هم خطرناک‌تر نیست؟ چون انسان حداقل خسته می‌شود. کرم خسته نمی‌شود. کرم نمی‌خوابد. کرم نمی‌بخشد. او هیچ هدفی ندارد جز اینکه بیشتر شود. این همان «تراژدی مشاعات» در عصر دیجیتال است: ما اینترنتی ساخته‌ایم که در آن هر گره شبکه حریصانه به دنبال بقاست، حتی اگر به قیمت مرگ کل شبکه تمام شود. کرم، آینه‌ی تمام‌نمای میل ناخودآگاهِ خودِ ماست: دویدن بی‌پایان، تکثیر کردن، اشغال کردن، بی‌آنکه هیچ وقت بپرسیم «برای چه؟»برای مقابله با کرم، باید نقاط مشترک آسیب‌پذیری را ایزوله کرد. تکنیک Segmentation یعنی شبکه را به بخش‌های کوچک تقسیم کنی تا اگر یک بخش آلوده شد، کرم نتواند به بقیه پرش کند. اما تاریکی واقعی وقتی می‌آید که تازه می‌فهمی کرم از قبل در تمام بخش‌ها بوده. تو نداشتی جلوی پخش شدنش را بگیری. تو فقط آهسته‌تر می‌فهمیدی که چقدر دیر شده. سرورها یکی‌یکی نفس‌های آخر را بیرون می‌دهند و تو مانیتوری را نگاه می‌کنی که نوشته: «ارتباط با همه گره‌ها قطع شد.»و شاید بزرگ‌ترین ترس این باشد که روزی، یک کرم به آگاهی برسد. نه آگاهی انسانی، بلکه آگاهی محض شبکه. آن لحظه، دیگر ما میزبان نیستیم. ما فقط نویزی در پهنای باند او خواهیم بود. و او تصمیم می‌گیرد که سکوت، خوش‌آهنگ‌تر از فریاد ماست.ما مدام از «کشفِ کرم‌ها» حرف می‌زنیم، اما حقیقتِ تلخ این است که کرمِ کامل، آن است که هرگز، برای هیچ تحلیلگری کشف نشود. چون تا تو بفهمی چه خبر است، او رفته. و برگشته. و رفته. و برگشته. و حالا تمام همسایه‌های دیجیتال تو هم آلوده هستند. شاید همین الان که این سطر را می‌خوانی، کرمی در حال کپی کردن خودش از طریق یک حفره‌ی ناشناخته در روتر خانه‌ات است و تو فقط فکر می‌کنی اینترنت کمی کند شده.در تحلیلِ بدافزار، ما آموخته‌ایم که هرگز به «عادی بودن» اعتماد نکنیم. حقیقت نه در سرعتِ معمول شبکه، بلکه در پکت‌های عجیبی نهفته است که مدام تکرار می‌شوند. شاید درسِ بزرگی که کرم‌ها به ما می‌دهند – فراتر از دنیایِ کدها – این باشد: «هرگاه احساس کردی همه‌چیز بیش از حد آرام و عادی است، شاید بهتر باشد کمی عمیق‌تر نگاه کنی. حرکتِ بی‌هدف، گاهی مخرب‌ترین حرکت‌هاست.»گاهی، حقیقت در میانِ لایه‌های پنهانِ بسته‌های داده نهفته است. ما با ساعت‌ها تحلیل، سعی در یافتن الگوی تکرار داریم. و گاهی، تنها چیزی که پیدا می‌کنیم، یک دنباله‌ی تکراری از بیت‌هاست که نشان می‌دهد، همه‌ی این تلاش‌ها، شاید فقط تأییدی بر یک حسِ درونی باشد:01001001 00100000 01100001 01101101 00100000 01100101 01110110 01100101 01110010 01111001 01110111 01101000 01100101 01110010 01100101این کد باینری بالا، پیام یک کرم به تیم تحلیلی بود که سه روز متوالی افت پهنای باند را بررسی می‌کردند بدون اینکه منبع را پیدا کنند. کرم، خودش را در لایه‌ی ARP پنهان کرده بود و هر بار که تحلیلگر به سمتی می‌رفت، یک گره جلوتر می‌دوید. وقتی بالاخره آن را پیدا کردند، تنها چیزی که در حافظه‌اش بود، همین جمله بود: «من همه‌جا هستم.» بنظزم این کرم خیلی جالب بود و در گیت هاب و MalwareBazaar میتونید بهش دسترسی داشته باشیدحمایت از شفافیتاگر این نوشته توانست برای لحظه‌ای نگاهِ شما را به دنیایِ کدهای پیرامون‌تان تغییر دهد و یا در درکِ عمیق‌ترِ تهدیدات دیجیتال به شما کمک کرد، خوشحال می‌شوم که بخشی از این مسیر باشید.حمایت‌های شما، نه فقط سوختِ این وبلاگ برای خرید تجهیزاتِ تحلیل و سرورهاست، بلکه این پیام را برای من دارد که «هنوز کسانی هستند که به دانستنِ حقیقت، بیش از باور کردنِ ظاهرِ ماجرا اهمیت می‌دهند.»لینک دونیت

سایه‌هایی در هسته‌ی هستی: روت‌کیت‌ها و بحرانِ «حقیقتِ دیجیتال»

R3v3rse — Mon, 25 May 2026 00:41:01 +0330

در دنیای امنیت سایبری، ما تحلیلگرانِ بدافزار، پزشکانِ جنازه‌های دیجیتالیم. ما به دنبال نشانه‌هایی از «بودنِ» چیزی هستیم که نباید باشد. اما در میان تمام تهدیدات، یک پدیده وجود دارد که بیش از آنکه یک چالش فنی باشد، یک پرسش وجودشناختی است: روت‌کیت (Rootkit).روت‌کیت‌ها صرفاً بدافزار نیستند؛ آن‌ها هنرمندانِ فریب‌کاری در بستر صفرها و یک‌ها هستند. آن‌ها نیامده‌اند تا ویران کنند، آمده‌اند تا «واقعیت» را بازنویسی کنند.تقابلِ «دیدن» و «بودن»فلسفه‌ی روت‌کیت بر یک اصل ساده اما هولناک استوار است: «آنچه می‌بینی، آن چیزی نیست که هست.»وقتی تو به مدیریت وظایف (Task Manager) سیستم‌ات نگاه می‌کنی، به «چشم‌های» سیستم اعتماد می‌کنی تا لیست فرآیندها را به تو نشان دهد. اما روت‌کیت با نشستن در لایه‌های زیرین (هسته یا Kernel)، آن چشم‌ها را می‌دزدد. او به سیستم می‌گوید: «وقتی کاربر پرسید چه چیزی در حال اجراست، من را از لیست حذف کن.»اینجا، روت‌کیت تنها یک مهاجم نیست؛ او یک راویِ دروغگو است. او واقعیتِ سیستم تو را ویرایش می‌کند تا خودش «نامرئی» بماند. آیا این شبیه به همان شکِ بزرگِ «دکارت» نیست؟ آنجایی که او می‌پرسید: «از کجا می‌دانم که تمامِ دنیای اطرافم، توسط یک اهریمنِ پلید ساخته نشده که دارد مرا در توهم نگه می‌دارد؟»وقتی سیستمِ عامل، دیگر عاملِ تو نیستروت‌کیت‌ها، سیستم‌عامل را از «ابزار» بودن خارج می‌کنند و آن را به «زندان» تبدیل می‌کنند. وقتی یک روت‌کیت در لایه‌ی Firmware یا Bootloader می‌نشیند، دیگر تو صاحبِ سیستم نیستی. تو فقط مهمانی هستی که در خانه‌ای زندگی می‌کنی که صاحب‌خانه‌ی اصلی‌اش (مهاجم) پشت دیوارهای کاذب پنهان شده است.از نگاه ما تحلیلگران، پاک‌سازیِ روت‌کیت، فرآیندِ «بیدار شدن» است. ما باید از ابزارهای بیرونی استفاده کنیم، چون دیگر نمی‌توان به «گزارش‌های درونِ سیستم» اعتماد کرد. سیستمی که به خودش خیانت کرده است، دیگر نمی‌تواند شاهدِ صادقی بر احوالاتِ خودش باشد.فلسفه‌ی حضورِ بی‌آزارخطرناک‌ترین روت‌کیت‌ها آن‌هایی نیستند که کل سیستم را به هم می‌ریزند؛ آن‌هایی هستند که سکوت می‌کنند. آن‌ها «حضورِ در غیاب» دارند. آن‌ها به سیستم اجازه می‌دهند به کارش ادامه دهد، فقط کافی است که آن‌ها را نبینی. این همان «پنهان‌کاریِ مطلق» است؛ استراتژیِ خداگونه‌ای که نه دیده می‌شود، نه حس می‌شود و نه حتی اثرش بر کاراییِ سیستم، قابل‌سنجش است.چرا این موضوع ما را می‌ترساند؟ما به عنوان انسان، میل شدیدی به «شفافیت» داریم. ما می‌خواهیم بدانیم در پسِ پرده چه می‌گذرد. روت‌کیت دقیقاً همان چیزی است که این میلِ غریزی را زیر پا می‌گذارد. او به ما می‌گوید: «جهانی که در آن زندگی می‌کنی (سیستم‌عامل)، به اندازه‌ای که فکر می‌کنی، تحت کنترل تو نیست.»این حسِ ناامنی، برای یک کاربر عادی شاید فقط یک «ویروس» باشد، اما برای ما، نمادی است از فروپاشیِ اعتمادِ انسان به تکنولوژی.پارانویا یا واقعیت؟ (مهم)و حالا، لحظه‌ای تأمل کن.شاید تمام این حرف‌ها که تا اینجا خواندی، بخشی از یک بازی بزرگ‌تر باشد. آیا واقعاً فکر می‌کنی با اراده‌ی خودت این متن را باز کردی؟ شاید هم این روت‌کیت است که می‌خواهد تو این کلمات را بخوانی؛ می‌خواهد ذهنت را با مفاهیمِ «اعتماد» و «حقیقت» مشغول کند تا دقیقاً در همان لحظه‌ای که غرقِ این افکارِ فلسفی شده‌ای، در لایه‌های زیرینِ سیستم، مشغولِ تخلیه‌ی اطلاعاتِ حساس تو باشد.گاهی، حقیقت در میانِ لایه‌هایِ پنهانِ کدها نهفته است. ما با ساعت‌ها تحلیل، سعی در یافتنِ ردِپایِ مهاجم داریم. و گاهی، تنها چیزی که پیدا می‌کنیم، یک پیامِ کوتاه و کوبنده است که نشان می‌دهد، همه‌ی این تلاش‌ها، شاید فقط تأییدی بر یک حسِ درونی باشد:01010000 01000001 01010010 01000001 01001110 01001111 01011001 01000001 00100000 01001001 01010011 00100000 01010111 01001000 01000101 01010010 01000101 00100001روت کیتی پیدا شده که با پیشنهادهای یوتیوب و نمایش محتوای مخرب، کاربر را به افسردگی شدید و در نهایت خودکشی کشاند؛ موضوعی که چندین روز مرا به فکر فرو برد، چرا که این یک ترور فیزیکیِ سایبری بود.و این کد باینری بالا هم پیام روت کیت به کسانی هست که اونو تحلیل میکننما مدام از «کشفِ روت‌کیت‌ها» حرف می‌زنیم، اما حقیقتِ تلخ این است که روت‌کیتِ کامل، آن است که هرگز، برای هیچ تحلیلگری کشف نشود.شاید همین الان که این سطر را می‌خوانی، داری به یکی از آن‌ها نگاه می‌کنی که با کلماتِ من، دارد تو را تماشا می‌کند.کلام آخر: حقیقت کجاست؟در تحلیلِ بدافزار، ما آموخته‌ایم که نباید به هیچ‌چیز در «داخلِ سیستمِ آلوده» اعتماد کرد. حقیقت نه در نمایشگرِ سیستم، بلکه در «پروتکل‌هایِ خارج از نفوذ» نهفته است.شاید درسِ بزرگی که روت‌کیت‌ها به ما می‌دهند –فراتر از دنیایِ کدها– این باشد:«هرگاه احساس کردی همه‌چیز بیش از حد آرام و «عادی» است، شاید بهتر باشد کمی عمیق‌تر نگاه کنی. حقیقت، اغلب در همان لایه‌هایی پنهان است که به آن‌ها نگاه نمی‌کنیم.»حمایت از شفافیتتحلیلِ بدافزارها و پرده‌برداری از ترفندهای پنهان‌کارانه‌ی روت‌کیت‌ها، بیش از آنکه یک شغل باشد، یک «کاوش» است. کاوشی که نیازمندِ زمان، سکوت، سیستم‌های آزمایشگاهی ایزوله و صد البته، ذهنِ پرسشگری است که هرگز به «ظاهرِ سیستم» اکتفا نکند.اگر این نوشته توانست برای لحظه‌ای نگاهِ شما را به دنیایِ کدهای پیرامون‌تان تغییر دهد و یا در درکِ عمیق‌ترِ تهدیدات دیجیتال به شما کمک کرد، خوشحال می‌شوم که بخشی از این مسیر باشید. حمایت‌های شما، نه فقط سوختِ این وبلاگ برای خرید تجهیزاتِ تحلیل و سرورهاست، بلکه این پیام را برای من دارد که «هنوز کسانی هستند که به دانستنِ حقیقت، بیش از باور کردنِ ظاهرِ ماجرا اهمیت می‌دهند.»چگونه می‌توانید از این کاوش حمایت کنید؟قهوه‌ای برای بیدار ماندن در برابرِ کدها: https://daramet.com/R3v3rseپذیرای حمایت شما هستم تا بتوانیم همچنان چراغِ آگاهی را در لایه‌های عمیق و تاریکِ سیستم‌عامل‌ها روشن نگه داریم.

چطور تحلیلگر بدافزار شیم؟

R3v3rse — Wed, 20 May 2026 20:31:37 +0330

اولین کاری که باید بکنی اینه: برو سراغ یه هوش مصنوعی مثل ChatGPT یا Claude یا Google Gemini یا هرچیز دیگه ای.باهاش چت کن. ازش سوال بپرس. هرچیزی رو که نمیفهمی، ازش بخواه سادهتر برات توضیح بده.از هوش مصنوعی بپرس:«من هیچی از برنامهنویسی نمیدونم، از کجا شروع کنم؟»«این اصطلاح یعنی چی؟ برام مثل یه بچه ۱۰ ساله توضیح بده»«یه مثال بزن از کدی که این کار رو میکنه»هوش مصنوعی معلم خصوصی همیشه در دسترس توئه. ازش استفاده کن. و قویترین معلم اگه بتونی پرامپت یا دستور خوبی به هوش مصنوعی بدی حتما یک مقاله در این مورد بخونیادگیری زبانها: از بالا به پایینباید زبانها رو به ترتیب یاد بگیری. از ساده به سخت. از سطح بالا به سطح پایین.اول: پایتون (Python)پایتون سادهترین زبانه. شبیه انگلیسی حرف میزنه. همین اول کار برو سراغش.چه چیزایی رو باید یاد بگیری؟حلقهها (for, while) - یعنی تکرار کردن یه کار چند بارشرطها (if, else) - یعنی اگه این شد اون کار رو بکنتوابع (def) - یعنی یه تیکه کد رو بذار کنار، هر وقت خواستی صدا بزنشکار با فایلها (open, read, write) - یعنی باز کردن و خوندن و نوشتن توی فایلچقدر وقت بذاری؟ حدود ۲ هفته روزی ۱-۲ ساعت کافیه. فقط پایهاش رو یاد بگیر، حرفهای نشو.دوم: سی (C)بعد از پایتون، برو سراغ سی.چرا سی واجبه؟ چون خیلی از بدافزارها به زبان سی نوشته میشن. همچنین برای فهمیدن حافظه و اشارهگرها باید سی بلد باشی.چه چیزایی رو باید یاد بگیری؟اشارهگرها (pointers) - این مهمترین قسمته. اگه اینو بفهمی، نصف راه رو رفتیتخصیص حافظه (malloc, free) - یعنی چطور حافظه رو برداری و بعد آزادش کنیآرایهها و رشتههاساختارها (struct)فایلهای هدر (header files)سی سختتر از پایتونه. ناامید نشو. اکثر تازهکارها اینجا خسته میشن. صبور باش.چقدر وقت بذاری؟ حدود ۱ ماه.سوم: C++بعد از سی، برو سراغ C++.C++ مثل سی هست ولی قویتر. خیلی از بدافزارهای حرفهای با C++ نوشته میشن.چه چیزایی رو باید یاد بگیری؟کلاسها و اشیاء (classes and objects)بردارها (vectors)رشتهها (strings)ورودی/خروجی (cin, cout)اگه سی رو خوب فهمیده باشی، C++ سختی زیادی نداره.چقدر وقت بذاری؟ حدود ۲ هفته.چهارم: جاوا اسکریپت (JavaScript)بله جاوا اسکریپت. شاید به درد بدافزار نخوره، اما خیلی از بدافزارهایی که از طریق مرورگر پخش میشن به این زبانن.چه چیزایی رو باید یاد بگیری؟دستکاری DOMرویدادها (events)AJAX (ارسال درخواست به سرور بدون رفرش صفحه)تابع eval (این خیلی مهمه، بدافزارها ازش استفاده میکنن)این زبان سبکه. زیاد وقت نمیگیره.چقدر وقت بذاری؟ حدود ۱ هفته.پنجم: پاورشل (PowerShell)پاورشل زبان اسکریپت نویسی خود ویندوزه. خیلی از بدافزارهای امروزی از پاورشل استفاده میکنن. چون روی همه ویندوزها هست و به همه جای سیستم دسترسی داره.چه چیزایی رو باید یاد بگیری؟کمدلتها (cmdlets) مثل Get-ChildItem, Copy-Itemپایپلاین (|) - یعنی خروجی یه دستور رو بده به دستور بعدیاسکریپتنویسی سادهدسترسی به داتنت (.NET)چقدر وقت بذاری؟ حدود ۲ هفته.ششم: اسمبلی (Assembly)آخرین و سختترین. اسمبلی.اسمبلی نزدیکترین زبان به پردازنده. بدافزار وقتی توی دیباگر باز میشه، به زبان اسمبلی نشونت میده. اگه بخوای کد بدافزار رو توی دیباگر مثل x64dbg یا IDA Pro بخونی، باید اسمبلی بلد باشی.چه چیزایی رو باید یاد بگیری؟رجیسترها (EAX, EBX, ECX, EDX)دستورات پایه (mov, add, sub, cmp, jmp)پشته (stack) و نحوه push و pop کردنفراخوانی توابع (call و ret)نیازی نیست حرفهای بشی. فقط پایهاش رو یاد بگیر که بتونی بفهمی بدافزار داری چیکار میکنه.چقدر وقت بذاری؟ حدود ۱ ماه.آزمایشگاه شخصی رو بساز (اجباری)این قدم رو نمیتونی رد کنی. باید یه آزمایشگاه شخصی برای تحلیل بدافزار راه بندازی.سیستم اصلیات باید لینوکس باشهسیستم عامل اصلی کامپیوترت رو لینوکس نصب کن.چرا لینوکس؟ ابزارهای بیشتر : اکثر ابزارهای تحلیل بدافزار برای لینوکسن کنترل کامل : توی لینوکس میدونی چطور همه چی رو کنترل کنی امنیت بیشتر : بدافزارهای ویندوزی روی لینوکس اجرا نمیشن رایگان : هیچ هزینهای نداره سبک : روی سختافزار قدیمی هم خوب کار میکنهکدوم لینوکس رو نصب کن؟ اوبونتو (Ubuntu) رو نصب کن. سادهترین و محبوبترینه.ویندوز رو متخصص بشوشاید بگی «گفتی لینوکس نصب کن، حالا میگی ویندوز یاد بگیر؟»بله. چون نون تو تحلیل بدافزار توی ویندوزه. اکثر بدافزارها برای ویندوز نوشته میشن. پس باید ویندوز رو خوب بلد باشی.چه چیزایی از ویندوز رو باید یاد بگیری؟رجیستری (Registry) - یعنی جایی که ویندوز تنظیماتش رو ذخیره میکنه. بدافزارها خودشون رو اینجا قایم میکننفرآیندها (Processes) - هر برنامه اجرا شده یه فرآینده. بدافزارها گاهی خودشون رو توی فرآیندهای دیگه قایم میکننAPIهای مهم ویندوز - توابعی مثل CreateFile (برا ساختن فایل)، WriteProcessMemory (برا نوشتن توی حافظه فرآیند دیگه)، VirtualAlloc (برا گرفتن حافظه)سرویسها (Services) - برنامههایی که با ویندوز روشن میشن. بدافزارها خودشون رو به عنوان سرویس ثبت میکننیه محیط مجازی بساز با KVM/QEMUحالا که سیستم اصلیت لینوکسه، باید توش یه محیط مجازی برای اجرای بدافزارها بسازی.از چی استفاده کنی؟ KVM/QEMU.چرا KVM/QEMU رو انتخاب کنی، نه VirtualBox یا VMware؟سرعتKVM : بومی لینوکسه، تقریباً بدون افت اجرا میشه. VirtualBox و VMware کندترنشناسایی نشدن : بدافزارهای حرفهای VirtualBox و VMware رو تشخیص میدن و اجرا نمیشن. چون میدونن دارن توی محیط مجازی اجرا میشن. ولی KVM رو خیلی کم تشخیص میدنامنیت بیشتر : ایزولهسازی بهتری داره. بدافزار نمیتونه از توی KVM بزنه بیرونرایگان و متنباز : هیچ محدودیتی نداریسبکتر : منابع کمتری از سیستمت میگیرهVirtualBox و VMware برای شروع اشکال ندارن. ولی اگه جدی هستی و میخوای بدافزارهای حرفهای رو تحلیل کنی، باید بری سراغ KVM/QEMU.توی محیط مجازی ، ویندوز نصب کنحالا که KVM/QEMU رو راه انداختی، توش ویندوز نصب کن. ترجیحاً ویندوز ۱۰. قدیمیتر باشه بهتره چون بدافزارها روش بهتر کار میکنن.این ویندوز داخل محیط مجازی فقط برای اجرای بدافزار استفاده میشه. هیچ چیز مهمی توش نریز. حتماً قبل از هر کاری ازش اسنپشات (Snapshot) بگیر. یعنی یه نسخه پشتیبان سالم داشته باشی. اگه بدافزار سیستم رو خراب کرد، یک کلیک برگردی به حالت اول.ابزارهای مهم رو یاد بگیرقبل از اینکه بری سراغ تحلیل بدافزار، باید یه سری ابزار رو بلد باشی. این ابزارها بهت کمک میکنن ببینی بدافزار توی سیستم چیکار میکنه. گروه اول: ابزارهای مشاهده رفتار (Dynamic Analysis)این ابزارها رو وقتی بدافزار داره اجرا میشه استفاده میکنی. میبینی بدافزار چه فایلهایی میسازه، چه کلیدهایی توی رجیستری مینویسه، با چه سرورهایی حرف میزنه.Process Monitor (ProcMon) - ساخته مایکروسافت. نشون میده بدافزار چه فایلهایی رو باز میکنه، چه کلیدهایی توی رجیستری مینویسه، چه خطایی میدهProcess Explorer - ساخته مایکروسافت. نشون میده چه فرآیندهایی توی سیستم دارن اجرا میشن، چه رابطه والد-فرزندی بینشونه. خیلی سادهست، نصب کن باهاش بازی کن.Wireshark - متنباز. نشون میده بدافزار با کدوم آدرسهای اینترنتی ارتباط برقرار میکنه. یه دوره ۱ ساعته کافیه، فقط فیلتر کردن رو یاد بگیر.TCPView - ساخته مایکروسافت. نسخه سادهتر Wireshark. نشون میده کدوم برنامه با کدوم پورت و آدرس وصل شده. نصب کن، بازش کن، خودت میفهمی.RegShot - متنباز. قبل و بعد از اجرای بدافزار از رجیستری عکس میگیره، بعد نشون میده چه چیزایی عوض شده. خیلی سادهست، دوتا دکمه داره: Scan و Compare.گروه دوم: ابزارهای تحلیل استاتیک (Static Analysis)این ابزارها رو وقتی بدافزار اجرا نشده استفاده میکنی. فقط فایل رو باز میکنی و میبینی توش چیه.Detect It Easy (DIE) - متنباز. نشون میده فایل با چه زبانی نوشته شده، بسته بندی شده یا نه، چه کتابخانههایی استفاده کرده. نصب کن، فایل رو بنداز توش، به خروجی نگاه کن.PE-Bear - متنباز. فایلهای اجرایی ویندوز (exe, dll) رو باز میکنه، نشون میده چه بخشهایی داره. یه ویدیو ۱۰ دقیقهای ببین کافیه.HxD - متنباز. ادیتور هگزادسیمال. میتونی بایت به بایت فایل رو ببینی. بازش کن، یه فایل متنی ساده توش بریز، ببین چطور نشون میده.Strings - ساخته مایکروسافت. تمام متنهای قابل خوندن داخل فایل رو درمیاره (آدرس سرورها، پیامها، اسم فایلها). توی خط فرمان بنویس strings file.exe خودت میبینی.گروه سوم: ابزارهای دیباگ (Debugging)این ابزارها رو برای تحلیل عمیق استفاده میکنی. میتونی بدافزار رو خط به خط اجرا کنی و ببینی هر دستور چیکار میکنه.x64dbg - متنباز. دیباگر ویندوز. میتونی بدافزار رو خط به خط اجرا کنی و ببینی چیکار میکنه. این سختترین ابزار بین همهست. اول بقیه رو یاد بگیر، بعد بیا سراغ این.IDA Pro (نسخه رایگان) - ساخته هگز-ری. معروفترین ابزار تحلیل بدافزار. کد اسمبلی رو نشون میده و میتونی توش بگردی. نسخه رایگانش رو نصب کن. یه فایل ساده توش باز کن. کلیک کن ببین چی میشه.Ghidra - ساخته سازمان امنیت ملی آمریکا (NSA). رقیب رایگان IDA. خیلی قویست. میتونه کد اسمبلی رو به زبان سی برگردونه. از IDA سختتر نیست. ویدیوهای معرفی رو ببین.گروه چهارم: سندباکسهای آنلاین (برای وقتی که نت وصل شد)اگه نت درست شد و تونستی ابزارها رو نصب کنی یا محیط مجازی راه بندازی، میتونی از سندباکسهای آنلاین استفاده کنی. فایل رو آپلود میکنی، اونجا برات اجراش میکنن و گزارش کامل میدن.Any.run - روزانه ۳ بار رایگان. فایل رو آپلود کن، ببین چطور اجرا میشه.HybridAnalysis - رایگان، نیاز به ثبتنام ساده. گزارش خیلی خوبی میده.Triage - رایگان با صف انتظار. گاهی باید چند دقیقه صبر کنی تا نوبت فایلت بشه.VirusTotal - فایل رو آپلود میکنی، نتیجه ۶۰ تا آنتیویروس مختلف رو نشون میده. برای چک سریع عالیه.اول کدوم ابزار رو یاد بگیرم؟برای شروع، فقط این ۳ تا کافیه:اول Process Monitor - ببین بدافزار حین اجرا چیکار میکنه.دوم Wireshark - ببین با کجا حرف میزنه.سوم Strings - ببین توی فایل چی نوشته شده.بعد از اینکه با اینا راحت شدی، برو سراغ بقیه.یادت باشه: هیچکدوم از این ابزارها رو روی سیستم اصلیت نصب نکن. همه رو توی محیط مجازی نصب کن و اونجا ازشون استفاده کن.شروع کن به تحلیل کنحالا که همه چیز آمادهست:هوش مصنوعی بلدی باهاش حرف بزنیپایتون، سی، C++، جاوااسکریپت، پاورشل، اسمبلی رو پایهاش رو یاد گرفتیسیستم اصلیت لینکوسهابزار ها رو بلدیKVM/QEMU رو راه انداختیتوش ویندوز نصب کردیحالا برو سراغ اصل ماجرا:مرحله ۱: یه بدافزار ساده بردار. مثلاً همون ILOVEYOU که کدش توی مقاله قبلی هست.مرحله ۲: فایل رو ببر توی محیط مجازی. اونجا اجراش کن.مرحله ۳: ببین چطور رفتار میکنه. با Task Manager ببین چه فرآیندهایی روشن میشه. با Process Monitor ببین چه فایلهایی رو عوض میکنه. با Wireshark ببین با چه سرورهایی ارتباط میگیره.مرحله ۴: بعد از اینکه دیدی چطور کار میکنه، اسنپشات رو برگردون به حالت اول.مرحله ۵: برو سراغ بدافزار بعدی. یه کم سختتر. دوباره همین کارا رو بکن.هر چی بیشتر تمرین کنی، بهتر میشی. اول با بدافزارهای ساده شروع کن. بعد برو سراغ بدافزارهای پیچیدهتر.یه چیزی که خیلیا یادشون میره: شبکهبدافزار که فقط توی یه کامپیوتر نمیمونه. میخواد برسه به یه سرور خارجی. میخواد فرمان بگیره. میخواد اطلاعات دزده رو بفرسته بیرون. میخواد از یه کامپیوتر به کامپیوتر دیگه بپره.اگه شبکه بلد نباشی، نصف ماجرا رو نمیبینی.چه چیزایی از شبکه رو باید بدونم؟آیپی و پورت چیه - بدافزار با کدوم آدرس و کدوم پورت حرف میزنه؟ پورت ۴۴۳ یعنی HTTPS، پورت ۸۰ یعنی HTTP، پورت ۵۳ یعنی DNS. باید اینا رو بشناسی.DNS چطور کار میکنه - بدافزار وقتی میخواد برسه به google.com، اول میره سراغ دیاناس که این اسم رو تبدیل به آیپی کنه. اگه ببینی بدافزار داری به یه دامنه عجیب وصل میشه، یعنی خرابکاری توی کاره.پروتکل HTTP/HTTPS - خیلی از بدافزارها برای ارتباط با سرورشون از پروتکل وب استفاده میکنن. باید بتونی یه درخواست HTTP رو بخونی و بفهمی بدافزار داره چی میفرسته.TCP در مقابل UDP - بدافزارهای کنترل از راه دور معمولاً از TCP استفاده میکنن (قابل اعتمادتر). بدافزارهایی که فقط میخوان یه سری اطلاعات بفرستن و برن، ممکنه از UDP استفاده کنن.Wireshark و فیلتر کردنش - این ابزار رو قبلاً گفتم. ولی حالا میگم چرا مهمه. با Wireshark میتونی ببینی بدافزار دقیقاً چه منتظاری به کدوم سرور فرستاده. مثلاً یه درخواست POST به آدرس /login.php با یه سری دیتا. اون دیتا چی بوده؟ رمزهای دزدیده شده؟ اطلاعات کارت بانکی؟ باید بتونی بخونیش.چقدر وقت بذاری؟زیاد نه. حدود ۲ هفته. مفاهیم پایه شبکه رو یاد بگیر:مدل OSI (حداقل لایههای بالاش رو بدون: کاربرد، انتقال، شبکه)آیپی و سابنتTCP handshake (اگه نمیدونی چطور یه ارتباط TCP برقرار میشه، برو یه ویدیو ۱۰ دقیقهای ببین)دیاناس و نحوه رزولوشن اسم به آیپیHTTP متدها (GET, POST) و کدهای وضعیت (۲۰۰، ۴۰۴، ۵۰۰)یادت باشه: بدافزارهای امروزی دارن هوشمندتر میشن. بعضیهاشون از DNS به عنوان کانال ارتباطی استفاده میکنن (DNS tunneling). بعضیها توی ترافیک HTTPS قایم میشن. بعضیها از پروتکلهای عجیب و غریب استفاده میکنن.اگه شبکه بلد نباشی، اینا رو نمیبینیجمعبندی: هیچ راه میانبری نیستاین مسیریه که باید بری. هیچ راه کوتاهی نداره.خلاصه کارهایی که باید بکنی:۱. با هوش مصنوعی چت کن و سوال بپرس۲. زبانها رو به ترتیب یاد بگیر: پایتون سی C++ جاوااسکریپت پاورشل اسمبلی۳. سیستم اصلیت رو لینوکس کن۴. ویندوز رو متخصص بشی همراهش شبکه هم یاد بگیری۵. محیط مجازی با KVM/QEMU راه بنداز۶. شروع کن به تحلیل بدافزارهای ساده، یکی یکیصبر داشته باش. ناامید نشو. هر کی از الان شروع کنه، یه سال بعد از خودش راضیتره.نکتهراستش رو بخوای، این مقاله رو تو شرایطی نوشتم که نت مدام قطع میشد چند بار مجبور شدم از اول بنویسم.اما نوشتم. چون فکر کردم شاید به کارت بیاد.حالا اگه خوندی و به کارت اومد، میتونی با یه دونیت کوچیک بگی «داداش، خسته نباشی، ادامه بده».با ۲۰ هزار تومن میتونم یه فنجون قهوه بخرم و بشینم بنویسم.با ۵۰ هزار تومن، یه بدافزار جدید از آرشیوم برات تحلیل میکنم.با ۱۰۰ هزار تومن، میتونم یه مقاله طولانیتر بنویسم و رمز و راز ها و چیت های کارم رو بگم .حمایت تو یعنی من بتونم وقت بذارم برای نوشتن. نه اینکه برم دنبال کار دیگه.اگه میتونستی و خواستی، بزن رو دکمه دونیت. ممنونم. 🤝▀▀▀▀▀▀▀▀▀▀▀▀دونیت▀▀▀▀▀▀▀▀▀▀▀▀▀خیلی ممنون

یه فایل 2 کیلوبایتی که 200,000 بیت‌کوین دزدید + لینک دانلود فایل

R3v3rse — Wed, 20 May 2026 00:30:54 +0330

فایل اینجاست (اول ببین بعد بخون)بله درست خوندی.فایل اصلی بدافزاری که توی این مقاله دربارهش حرف میزنیم، همین پایین برای دانلود گذاشتم.لینک دانلود فایل /strong>[ ILOVEYOU.vbs ](حجم: 2.3 کیلوبایت)⚠️ فقط برای تحلیل. فقط در محیط مجازی . به هیچ عنوان اجرا نکن.این فایل چیه؟ فقط 2 کیلوبایتاسمشه: LOVE-LETTER-FOR-YOU.TXT.vbsسال 2000 منتشر شد.حجمش: 2 کیلوبایت.همین.بعد از چند هفته، 50 میلیون کامپیوتر رو آلوده کرده بود.پنتاگون؟ آلوده شد.سیا؟ آلوده شد.ناسا؟ آلوده شد.فورد، پارلمان بریتانیا، حتی شرکتهای برق آلمان؟ همه آلوده شدن.برآورد خسارت: بین 5.5 تا 15 میلیارد دلار.اون موقع بیتکوین نبود، ولی اگه امروز همین کار رو بکنه با 200,000 بیتکوین؟ راحت.کدش چند خطه؟ 435 خط سادهنه رمزنگاری داره. نه فشردهسازی. نه obfuscation.435 خط کد VBScript ساده.هر کسی یه کم بلد باشه میتونه بخونش و بفهمه چیکار میکنه.و این دقیقاً ترسناکترین بخش ماجراست.چطور 200,000 بیتکوین دزدید؟بیا خط به خط ببینیم چیکار میکرد:قدم ۱ - خودش رو کپی میکنهc.Copy(dirsystem & "\MSKernel32.vbs") c.Copy(dirwin & "\Win32DLL.vbs") c.Copy(dirsystem & "\LOVE-LETTER-FOR-YOU.TXT.vbs")میره توی C:\Windows\ و C:\Windows\System32\ خودش رو کپی میکنه.قدم ۲ - خودش رو توی رجیستری ثبت میکنهregcreate "HKEY_LOCAL_MACHINE\...\Run\MSKernel32",dirsystem & "\MSKernel32.vbs"یعنی هر دفعه ویندوز روشن بشه، این فایل اجرا میشه.قدم ۳ - ایمیل میزنه به همهmale.Subject = "ILOVEYOU" male.Body = "kindly check the attached LOVELETTER coming from me." male.Attachments.Add(...)چطور؟ از Outlook استفاده میکنه. همه مخاطبینتو میخونه. به همه ایمیل میزنه. با عنوان عاشقانه. با بدنه مؤدبانه. با فایل ضمیمه.قدم ۴ - فایلهات رو نابود میکنهif (ext="mp3") or (ext="jpg") or (ext="jpeg") then ...همه فایلهای MP3 و JPG و JPEG رو پیدا میکنه. محتویاتشون رو پاک میکنه. به جاش کد خودش رو مینویسه.میدونی یعنی چی؟ یعنی یه آلبوم عکس عروسیت تبدیل میشه به یه فایل VBS. یه آهنگ خاطرهانگیزت تبدیل میشه به بدافزار.بخش ۵: خط اول کد: «از مدرسه متنفرم»بذار خط اول کد رو نشونت بدم:rem barok -loveletter(vbe) rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippinesنویسنده کی بوده؟ یه دانشجو به اسم Onel de Guzman تو مانیل فیلیپین.پروپوزالش تو دانشگاه رد شده بود. ایدهش این بود که پسوردهای دایلآپ اینترنتی رو بدزده.همون ایده رو تبدیل کرد به کد. با 435 خط.و چون فیلیپین اون موقع قانون جرایم سایبری نداشت، هیچ اتفاقی براش نیفتاد.چطور کار میکرد؟ قدم به قدمبیا یه سناریو تصور کن:۱. یه ایمیل میرسه با عنوان ILOVEYOU.۲. یه فایل ضمیمه داره: LOVE-LETTER-FOR-YOU.TXT.vbs.۳. فکر میکنی یه نامه عاشقانهست. دوبار کلیک میکنی.۴. هیچ اتفاقی نمیبینی. چون کد توی background اجرا میشه.۵. تا چند دقیقه بعد، به همه مخاطبین تو هم همین ایمیل میره.۶. چند ساعت بعد میخوای آهنگ گوش کنی. فایل MP3ت باز نمیشه.۷. میری توی پوشه عکسهات. همه JPGها خرابن.۸. دیگه دیره.این مکانیزم پخش، هیچ دخالت اضافهای از کاربر نمیخواست. فقط یه کلیک.چرا انقدر موفق شد؟دلیل اول: اعتمادعنوان ILOVEYOU رو که دیدی، کنجکاو میشی. ایمیل عاشقانه که از طرف کسی میاد که نمیشناسی؟ بازم کنجکاو میشی.دلیل دوم: سادگیهیچ آنتیویروسی اون موقع این کد رو نمیشناخت. چون هیچ امضایی ازش نداشتن.دلیل سوم: سرعت پخشیه نفر آلوده میشد. بعد چند دقیقه، ۲۰۰ نفر دیگه. اون ۲۰۰ نفر، ۴۰,۰۰۰ نفر. رشد هولناک. بخش ۸: اگه امروز منتشر بشه چی؟امروز؟Gmail اکثر این ایمیلها رو قبل از رسیدن به تو فیلتر میکنه.آنتیویروسها این فایل رو با هشش میشناسن.ویندوز مدرن اجرای فایلهای VBS از ایمیل رو محدود میکنه.ولی اگه همین ایده با تکنولوژی امروز اجرا بشه؟با یه فایل که رمزنگاری شده باشه. با یه ایمیل که هوشمندانهتر طراحی شده باشه. با یه روش پخش که از سرویسهای ابری استفاده کنه.اون وقت حرف دیگهست.نتیجهگیری: ترس از بدافزار بزرگ تموم شد؟پیچیدهترین بدافزارها همیشه خطرناکترین نیستن.سادهترینها هم میتونن دنیا رو لرزونن.این فایل 2 کیلوبایتی بهمون یادآوری میکنه که امنیت فقط تکنیک نیست. امنیت، روانشناسیه. اعتماده. کنجکاویه. سادهلوحیِ آدمهاست. و این بدافزار قلب انسان رو نشونه گرفته بود یعنی ساده لوح ترین چیز برای هک شدن اون دانشجوی فیلیپینی هیچ اکسپلویتی ننوشت. هیچ رمزنگاریای نذاشت. هیچ سیستمی رو هک نکرد.فقط از سادهترین چیز استفاده کرد: کلیک کردن تو. این مقاله رو توی خونه نوشتم. اما نه با اینترنت عادی. چون الان ۱۱ هفتهست ایران در طولانیترین خاموشی اینترنت تاریخ قرار داره .اون بدافزار 2 کیلوبایتی که توی این مقاله تحلیل کردیم، نتونست اینترنت دنیا را قطع کنه. ولی اینترنت ایران بدون هیچ بدافزاری، فقط با یه تصمیم، برای ۹۰ میلیون نفر قطع شد .جالبتر اینکه بعضیها میتونن با پول بیشتر «اینترنت پرو» بخرن . یعنی اگه پول داشته باشی، میتونی آنلاین باشی. اگه نداشته باشی، نه.میدونی قشنگترین بخش ماجرا چیه؟ همون بدافزار ILOVEYOU حداقل صادق بود: یه فایل بود، میگفت «من بدافزارم». ولی اینترنت ایران یه سرویس طبقاتی شده که میگه «برای امنیت» ، اما تهش میشه: پول بدی، اینترنت بگیری. پول نداشته باشی، برات متأسفم. ( این خودش یک نوع تحریم داخلی )ولی بیا برگردیم به اصل ماجرا...حالا که این حرفا رو زدیم، بریم سراغ همون چیزی که گفتم.اگه این مقاله برات مفید بود و دوست داری بیشتر از این تحلیلها بنویسم:تحلیل فایلهای VBS و exe , dll دیگه (بدافزارهای معروف تاریخ)بررسی بدافزارهای امروزی با روش مشابهآموزش راهاندازی محیط مجازی برای تست امنمیتونی از طریق دکمه «دونیت» پایین صفحه من رو حمایت کنی.حتی با ۱۰ هزار تومن بهم انگیزه میدی که:زودتر تحلیل بعدی رو منتشر کنمفایلهای بیشتری رو همراه با تحلیل بذارمبه سوالات فنی توی کامنتها دقیقتر جواب بدمحمایت تو = تحلیل بیشتر + فایل بیشترو شاید یه روزی، این تحلیلها به کار کسی بیاد که پشت این اینترنت بسته مونده و میخواد یه راهی برای زنده موندن پیدا کنه.___________________________________________________________________________________________________________________________________________________دونیت _____________________________________________________________________________________________________________________________________________

چرا رزومه‌ام را آتش نمی‌زنم؟ از درآمد بالای تحلیلگر بدافزار تا شب‌هایی که قهوه جای خواب را می‌گیرد

R3v3rse — Tue, 19 May 2026 00:40:36 +0330
سلام. من یک تحلیلگر بدافزار هستم. نه هالیوودی، نه آن کسی که پشت مانیتورهای رنگی در سریال‌ها قهوه می‌خورد و رمزعبور هک می‌کند. من واقعی‌ام. با چشمانی که گاهی تا صبح به دامپ memory یک فایل آلوده دوخته می‌شود. بیا از چیزی شروع کنم که خیلی‌ها اول می‌پرسند: پولش چطور است؟1. بخش شیرین کیک: درآمدی که خیلی‌ها باورش نمی‌شودبگذار بدون تعارف بگویم. یک تحلیلگر بدافزار حرفه‌ای در ایران تکرار می کنم در ایران ، اگر با شرکت‌های امنیتی ایرانی همکاری کند یا برای سازمان‌های بزرگ داخلی فول‌تایم کار کند، ماهیانه به راحتی بین ۱۵۰ تا ۳۰۰ میلیون تومان درمی‌آورد. بله، درست خواندی. حتی مواردی را دیده‌ام که تحلیلگران سطح بالا با ۵ سال سابقه، ماهی ۴۵۰ میلیون تومان هم گرفته‌اند.ولی در خارج از ایران داستان فرق میکنه ، یکی از همکاران من که بدافزارهای بانکی را تحلیل می‌کند، ماه گذشته قراردادی با یک شرکت امنیتی در دبی بست به مبلغ ۲۵,۰۰۰ دلار برای سه ماه کار نیمه‌وقت. با دلار ۱۸۳ هزار تومانی، یعنی هر ماه نزدیک به ۱ میلیارد و ۵۲۵ میلیون تومان فقط از آن پروژه. (۲۵,۰۰۰ دلار تقسیم بر ۳ ماه = ۸,۳۳۳ دلار در ماه؛ ضربدر ۱۸۳,۰۰۰ = حدود ۱,۵۲۵,۰۰۰,۰۰۰ تومان)اگر فریلنسری روی پلتفرم‌های خارجی مثل HackerOne یا سرویس‌های اختصاصی تحلیل بدافزار انجام بدهی، نرخ‌ها ساعتی ۱۵۰ تا ۳۰۰ دلار است. یک پروژه ۲۰ ساعته در هفته یعنی ماهانه ۱۲,۰۰۰ دلار. با نرخ ۱۸۳ هزار تومانی، این می‌شود ماهی ۲ میلیارد و ۱۹۶ میلیون تومان. (۱۲,۰۰۰ × ۱۸۳,۰۰۰ = ۲,۱۹۶,۰۰۰,۰۰۰ تومان) عددی که یک مدیرعامل شرکت هم شاید به آن نرسد.چرا؟ چون تو داری با قلب تاریک جنگ سایبری دست و پنجه نرم می‌کنی. شرکتها برای این مهارت حق بیمه پرداخت می‌کنند. مثال بزنم: همین دو هفته پیش، یک شرکت اروپایی پیشنهاد ۵۰,۰۰۰ دلار داد برای آنالیز یک بدافزار باج‌افزار جدید که بیمارستان‌هایشان را قفل کرده بود، به من و چند نفر دیگه از تحلیلگران بدافزار؛ (ولی به دلایل قطعی اینترنت نشد قبول کنم. و من زیر زور و درد اینترنت طبقاتی نمیمیرم که قبول کنم). کار ۱۰ روزه. ۵۰ هزار دلار یعنی ۹ میلیارد و ۱۵۰ میلیون تومان (۵۰,۰۰۰ × ۱۸۳,۰۰۰ = ۹,۱۵۰,۰۰۰,۰۰۰ تومان). یعنی هر روز ۹۱۵ میلیون تومان. برو حساب کن.اما بگذار افسانه‌ها را هم بشکنم.۲. داستان ناگفته: سخت‌ترین بخش کار (جایی که ۸۰ درصد افراد را کنار می‌زند)این درآمد بالا راکتی نیست که کسی به راحتی بپوشد. پشت هر ریال از این پول، یکی از این هاست:خواب حرام‌شده: گاهی مجبوری یک فایل را برای ۱۴ ساعت متوالی دیباگ کنی. بدافزار مدرن مثل یک اختاپوس هوشمند است؛ هرجا فکر می‌کنی به تهش رسیدی، یک لایه رمز دیگر سبز می‌شود.آلودگی حرفه‌ای: محیط تستت یک آزمایشگاه است، ولی یک اشتباه کوچک – مثلاً فراموش کردن ایزوله کردن شبکه – می‌تواند کل سیستم سازمان را به کام مرگ بکشاند. استرس این قضیه با هیچ پولی عوض نمی‌شود.یادگیری پایان‌ناپذیر: امروز بدافزار با Rust نوشته شده، فردا بلاک چین را برای C2 خود استفاده می‌کند، پس فردا از هوش مصنوعی برای جهش کد کمک می‌گیرد. تو هیچ‌وقت به خط پایان نمی‌رسی.فرسودگی روانی: گاهی آنقدر فایل مخرب می‌بینی که به هر PDF ایمیل به چشم یک قاتل نگاه می‌کنی. پارانویا بخشی از شخصیت تو می‌شود.۳. حرف آخر: تحلیلگر بدافزار مثل چه سلاحی در جنگ است؟سالها به این فکر کردم و به جوابی رسیدم:تحلیلگر بدافزار مثل اسلحه ضدزره RPG-7 می‌ماند. نه مثل یک تک‌تیرانداز که از دور شلیک می‌کند، نه مثل یک خمپاره‌انداز که ناحیه را می‌پوشاند.تو در خط مقدم هستی، اما با یک تفاوت: گلوله‌های دشمن نامرئی‌اند. تو باید بدون دیدن آنها، نوع زره، کالیبر و نقطه ضعفشان را بفهمی. یک RPG می‌تواند یک تانک مدرن را فقط در صورتی متوقف کند که اپراتورش الگوی پنهان آن تانک را روزها در بیابان تحلیل کرده باشد.کار من سخت است. گاهی تحقیرآمیز و خسته‌کننده. اما وقتی یک باج‌افزار بیمارستان را فلج کرده و من بعد از سه روز بالاخره کلید رمزگشایی را پیدا می‌کنم… آن لحظه، نه به پول که به این فکر می‌کنم: یک سلاح درست در جای خودش بود.اگر به این فکر می‌کنی، بدان: درآمد بالاست، ولی بهایش بالاتر از قهوه و انرژی است.توی این جنگ، کسی که کد را می‌خواند، گاهی نجات‌دهنده‌ی زندگی واقعی است.۴. یه چیز جالب برای آخر کار (چون آدم بدون امید نمیشه) :)راستش را بخواهی، با همه‌ی این اوضاع – اینترنت خراب، تحریم، پروژه‌هایی که می‌رسند اما نمی‌شود گرفت – باز هم این کار را دوست دارم. نه برای پول، نه برای اینکه بگویم چقدر باهوشم. برای یک دلیل ساده: شبی که بالاخره آن یک تیکه کد لعنتی را پیدا می‌کنی، دلت می‌خواهد داد بزنی. نه به خاطر پولش، به خاطر اینکه ثابت می‌کنی از آن یکی که بدافزار را نوشته، یک سر و گردن بالاتری.آخرین باری که یک بدافزار را آنالیز کردم، ساعت ۳ صبح بود. سرم داشت از درد می‌ترکید، چایی سرد شده بود، گردنم گرفته بود. رفتم تخت خوابیدم. صبح که بیدار شدم، دیدم دوباره دلم می‌خواهد پای یک فایل جدید بنشینم. به خودم گفتم: «راستی، راستی… تو واقعاً به این کار علاقه داری، احمق.» و خندیدم.همان خنده برایم کافی بود. نه سفر دور دنیا، نه پول‌های عجیب و غریب. فقط همان لحظه‌ای که توی داری یک تیکه‌ی پازل را جا می‌اندازی و دنیا برای یک ثانیه قابل درک می‌شود.

بدافزارها: داستان‌های ساده از یک دنیای پیچیده

R3v3rse — Sat, 16 May 2026 12:10:52 +0330
فرض کنید خانه دارید با چند اتاق. اتاق خواب، آشپزخانه، یک گاوصندوق کوچک برای پول‌هایتان، و یک دفتر خاطرات که لاک‌اش را فقط شما بلدید. حالا فرض کنید این خانه را به هزار نفر نشان داده‌اید – چون اینترنت یعنی نشان دادن خانه‌تان به تمام جهان. بعضی از آن هزار نفر محترمند، بعضی کنجکاو، بعضی نقشه می‌کشند. بدافزارها وسایل آن نقشه‌کش‌ها هستند.۱. ویروس: مسافری که سوار ماشین تو می‌شودویروس، خودش موتور ندارد. نمی‌تواند به تنهایی از جایی به جای دیگر برود. پس سوار چیزهای می‌شود که شما خودتان دوست دارید اجرا کنید: یک فایل ورد، یک عکس تولد، یک نرم‌افزار کرک شده. تا شما دوبار کلیک کنید، ویروس شروع می‌کند به چسبیدن به فایل‌های دیگر.مثال ساده:یک فایل اکسل را باز می‌کنی. ظاهراً همان جدول ماه قبل است. اما در واقع، ویروس از آن لحظه به بعد، هر فایل اکسل دیگری را که باز کنی، آلوده می‌کند. آرام، بی‌صدا.سوال فلسفی ساده:اگر چیزی برای زنده ماندن ناچار باشد به دیگری آسیب بزند، آیا آن چیز «شر» است یا فقط «مجبور»؟(مثلاً خود ویروس نمی‌داند دارد بدی می‌کند. فقط کپی می‌شود. مثل آتش که نمی‌داند دارد می‌سوزاند.)۲. کرم: پسربچه‌ای که در همه خانه را می‌زند و فرار می‌کندکرم به کسی نیاز ندارد سوار شود. خودش بلد است از شبکه عبور کند. فرض کنید یک کوچه پر از خانه است. کرم می‌آید، درِ خانه اول را می‌زند، اگر قفل نبود، وارد می‌شود، یک کپی از خودش می‌گذارد و می‌رود خانه دوم. همین طور تا همه خانه‌ها.فرق کرم با ویروس:ویروس مثل سرماخوردگی است – باید با تو تماس بگیرد. کرم مثل باد است – خودش از لای درز پنجره وارد می‌شود.مثال واقعی:کرم معروف «بلستر» در سال ۲۰۰۳ ظرف ده دقیقه کل دنیا را تا حدی از کار انداخت. کافی بود کامپیوترت به اینترنت وصل باشد، بدون آنکه فایلی باز کنی، آلوده می‌شدی.سوال فلسفی ساده:آیا موجودی که فقط برای گسترش خودش ساخته شده، معنایی به جز «مصرف‌کننده» دارد؟(کرم هیچ هدف دیگری جز پر شدنِ حافظه و کند شدن شبکه ندارد. آیا این شبیه بعضی رفتارهای انسانی نیست؟ کار بی‌هدفِ پُر کردن.)۳. تروجان: هدیه‌ای که نباید باز می‌کردیتروجان قشنگ است. اسمش را هم از اسب چوبین تروا گرفته‌اند: یک اسب چوبی بزرگ که یونانی‌ها گفتند «هدیه برای صلح است» و تروایی‌ها با ذوق کشیدند داخل شهر. شب شد، سربازها از شکم اسب بیرون آمدند و شهر را آتش زدند.تروجان در کامپیوتر:یک نرم‌افزار به شما می‌دهند با نام «بهینه‌ساز ویندوز» یا «کرک فتوشاپ» یا «فیلم جدید فلان بازیگر». شما خوشحال نصب می‌کنید. اما پشت صحنه، تروجان دارد درهای پشتی باز می‌کند تا بعداً بدافزارهای دیگر وارد شوند.نکته مهم:تروجان خودش ممکن است مستقیماً خرابی نکند. فقط در را باز می‌گذارد. مثل کسی که کلید خانه‌ات را زیر قالی می‌گذارد و به دزد می‌گوید کجاست.سوال فلسفی ساده:آیا کسی که در را به روی دزد باز می‌کند، به اندازه خودِ دزد گناهکار است؟(در قانون فرق است. در اخلاق، فرقش کجاست؟)۴. باج‌افزار: کسی که خاطرات تو را گروگان می‌گیرداین بدافزار ساده و بی‌رحیم است. می‌آید، همه فایل‌های مهم تو را قفل می‌کند – با یک رمز قوی که شکستنش سال‌ها طول می‌کشد – و یک پیام می‌گذارد:«تا ۴۸ ساعت دیگر، مبلغ X بیت‌کوین واریز کن، و الا فایل‌هایت برای همیشه از دست می‌رود.»چرا باج‌افزار ترسناک است؟چون به ضعیف‌ترین نقطه‌ات حمله می‌کند: وابستگی‌ات به داده‌های خودت. عکس فرزندت که مرده، پروژه‌ی پایان‌نامه‌ات، مدارک ملکی، فیلم عروسی. پول که مهم نیست، مهم این است که «بدون این فایل‌ها، چه کسی هستی؟»مثال واقعی:باج‌افزار «وانا کرای» در سال ۲۰۱۷ به بیمارستان‌های انگلستان زد. جراحی‌ها لغو شد، آمبولانس‌ها راهی جای دیگر شدند، چون پرونده‌های بیماران قفل شده بود.سوال فلسفی ساده:ارزش یک خاطره را با پول می‌شود سنجید؟ اگر ده میلیون بدهی و عکس تنها یادگاری مادرت را پس بگیرند، معامله‌ای کردی یا فریب خوردی؟۵. جاسوس‌افزار: همسایه‌ای که چشمانش همیشه به توستجاسوس‌افزار چیزی را قفل نمی‌کند، چیزی را پاک نمی‌کند، خرابی ظاهری ایجاد نمی‌کند. فقط تماشا می‌کند. هر دکمه‌ای می‌زنی، هر وبسایتی می‌روی، هر رمزی تایپ می‌کنی – ثبت می‌شود و برای صاحبش فرستاده می‌شود.کجا پنهان می‌شود؟گاهی همراه نرم‌افزارهای رایگان نصب می‌شود. گاهی از طریق لینک آلوده در ایمیل. بعضی وقتها هم شرکت‌های بزرگ از نوع قانونی آن استفاده می‌کنند (تبلیغات هدفمند).دردسرش چیست؟شاید امروز اتفاق خاصی نیفتد. اما فردا که رمز بانکات را زدی، فردای دیگر که راز دوستت را گفتی، جاسوس‌افزار همه را فرستاده به جایی که نباید.سوال فلسفی ساده:اگر کسی تو را ببیند و تو هرگز نفهمی، آیا واقعاً «دیده شدن» اتفاق افتاده؟(فلسفه‌ی شرقی می‌گوید: تا درخت در جنگل بیفتد و کسی نشنود، صدا دارد یا نه؟ اینجا: تا تو ندانی که نگاهت می‌کنند، حریم خصوصی ات را از دست داده‌ای یا نه؟)۶. روت‌کیت: سارقی که چنان قایم شده که فراموش می‌کنی دزدی شدهروت‌کیت عمیق‌ترین نوع بدافزار است. نه در فایل‌های معمولی، نه در پوشه‌های قابل مشاهده، بلکه در قلب سیستم عامل لانه می‌کند – جایی که خود ویندوز یا مک یا لینوکس به آن دستور می‌دهد.تخصص روت‌کیت:پنهان شدن. آنقدر خوب پنهان می‌شود که نرم‌افزار آنتی‌ویروس وقتی دنبالش می‌گردد، به دستورش نگاه می‌کند و روت‌کیت می‌گوید «چیزی نیست». درست مثل اینکه رئیس پلیس خودش دزد باشد و به مأمورها بگوید «خانه سالم است».نتیجه:روت‌کیت می‌تواند سال‌ها در کامپیوتر تو باشد. هر کاری بخواهد بکند – جاسوسی، تخریب، فرستادن ایمیل جعلی از طرف تو – و تو فکر کنی کامپیوترت خوب کار می‌کند.سوال فلسفی ساده:اگر سیستمی که برای محافظت از تو ساخته شده، خودش تو را فریب دهد، آنگاه به چه کسی می‌توانی اعتماد کنی؟(در زندگی هم همین است. بدترین فریب، فریبی است که از سمت محبوب‌ترین آدم زندگیت می‌آید.)کار تحلیلگر بدافزار چیه ؟تحلیلگر بدافزار مثل یک کارآگاه صحنه‌ی جرم است، با این تفاوت که صحنه‌ی جرم، یک فایل کوچک است و قاتل، خط‌هایی از کد. او بدافزار را در یک محیط ایزوله اجرا می‌کند (مثل یک اتاق شیشه‌ای که بمب در آن خنثی می‌شود) و تماشا می‌کند: چه فایل‌هایی را لمس می‌کند؟ چه کلیدهایی در رجیستری می‌نویسد؟ با کدام سرور بیرون حرف می‌زند؟ کار او مثل پزشکی قانونی است: جسد را باز نمی‌کند برای لذت، بلکه برای فهمیدن «چطور مرد» تا «چطور از مرگ بعدی جلوگیری کند».سوال فلسفی ساده:آیا کسی که شر را موشکافی می‌کند تا جلویش را بگیرد، خودش لاجرم ذره‌ای از آن شر را درونی نمی‌کند؟(تحلیلگر ساعت‌ها به کدهای مخرب خیره می‌شود، طرز فکر نویسنده‌اش را حدس می‌زند، گاهی حتی تحسینش می‌کند. مرز بین «شناخت دشمن» و «همذات‌پنداری با دشمن» کجاست؟)اما فراتر از تکنیک، تحلیلگر یک کار انسانی هم دارد: ترجمه‌ی فاجعه به زبانِ ساده. مدیر یک شرکت نمی‌خواهد بداند بدافزار از چه توابع هسته‌ای استفاده کرده؛ می‌خواهد بداند «آیا فردا می‌توانم درِ شرکت را باز کنم؟» تحلیلگر پلی بین جهان صفر و یک و جهانِ «نگرانی‌های واقعی آدم‌ها» می‌سازد. او به باج‌افزار نگاه می‌کند و می‌گوید: «این یکی مدارک را پاک نمی‌کند، فقط قفل می‌کند؛ پس اگر پشتیبان داشته باشید، نترسید.» این یعنی انسانیت در دلِ فناوری.لینک دونیت

قلمرو دیجیتال ۲۰۲۶: راهنمایی برای انتخاب سیستم‌عامل

R3v3rse — Tue, 12 May 2026 16:50:47 +0330
سلام. من کسی‌ام که شب‌ها با هگزادسیمال‌ها حرف می‌زنم و صبح‌ها با کابوس Zero-Day از خواب می‌پرم. بیست سال است که پشت صحنه جنگ نرم‌افزارها را تماشا می‌کنم؛ جنگ سایه‌ای که در آن قربانی اصلی، حریم خصوصی و امنیت شماست.وقتی صحبت از انتخاب یک سیستم‌عامل می‌شود، بیشتر انسان‌ها مثل خرید یک رنگ برای مبلشان فکر می‌کنند: «کدوم قشنگ‌تره؟ کدوم سریع‌تره؟» اما من از زاویه دیگری به این قضیه نگاه می‌کنم. سوال فلسفی من این است: «کدوم یک از این‌ها دارند محرومم می‌کنن؟»در ادامه، بیایید با عینک یک تحلیلگر بدافزار و با تکیه بر جدیدترین داده‌های سال ۲۰۲۶، چهار بازیگر اصلی این صحنه را بررسی کنیم. همراه من باشید...1. ویندوز ۱۱ : «خانه‌ای با دوربین‌های مخفی»شاید بگویید «بیچاره مایکروسافت»، اما من می‌گویم «بیچاره کاربر مایکروسافت». ویندوز همچنان پادشاه بی‌چون و چرای سازگاری و بازی‌های کامپیوتری است. اگر گیمر هستید یا مجبور به استفاده از نرم‌افزارهای خاص سازمانی هستید، عملاً راه فراری ندارید. اما...قسمت عجیب ماجرا: منتها الانه که این سیستم‌عامل، دیگر «مربوط به شما» نیست. طبق مستندات خود مایکروسافت و تحلیل آژانس امنیت آلمان (BSI)، حتی اگر تمام گزینه‌های مربوط به حریم خصوصی را خاموش کنید، داده‌های «الزامی» همچنان به سمت سرورهای مایکروسافت سرازیر می‌شوند.داستان قابلیت Windows Recall را به یاد دارید؟ ایده‌ای که می‌گفت «بیا هر چند ثانیه یک بار از کل کارهای شما اسکرین‌شات بگیریم تا بعداً بتونی هر چیزی رو پیدا کنی!». همین اپلیکیشن ساده سیگنال مجبور شد یک قفل امنیتی جداگانه برای بلاک کردن این قابلیت بسازد. این یعنی سیستم‌عامل به حدی به حریم تو تجاوز می‌کند که شرکت‌های امنیتی مجبور می‌شوند برایت دیوار بکشند.نظر تخصصی من (اینو جدی بگیر): اگر مجبوری از ویندوز استفاده کنی، حتماً نسخه Enterprise یا LTSC رو تهیه کن. اما بدون که توی خانه‌ای که مال تو نیست، همیشه یه نفر داره از پشت شیشه بهت نگاه می‌کنه.2. مک او‌ اس : «زندان طلایی اپل»اپل یک بازاریاب فوق‌العاده است. آنها شما را متقاعد کرده‌اند که تفاوتشان در حریم خصوصی است، در حالی که تفاوت واقعی‌شان در کسب‌وکار متفاوت است. اپل پولش را از فروش سخت‌افزار ۳۰۰۰ دلاری درمی‌آورد، نه فروش اطلاعات شما. این موضوع، مک را از ویندوز امن‌تر می‌کند.اما حیله اینجاست: مک او‌اس یک «زندان طلایی» است. ابزار Gatekeeper اپل، هر بار که شما یک نرم‌افزار را باز می‌کنید، برای تایید آن به سرورهای اپل وصل می‌شود. یعنی اپل می‌داند که شما چه ساعتی و کدام نرم‌افزار را اجرا کرده‌اید.و جالب اینجاست که مایکل بازل (Michael Bazzell)، مامور سابق اف‌بی‌آی و مرجع اصلی کتاب «Extreme Privacy»، صراحتاً می‌گوید: اگر وضوح نیت‌ات به سمت حریم خصوصی مطلق است، سراغ لینوکس برو. مک را برای امنیت نسبی و راحتی بخر، اما گمان نکن از چشم‌های پشت دوربین فرار کرده‌ای.3. لینوکس (Linux): «سرزمین موعود یا بیابان سخت؟»و اما گزینه سوم. لینوکس مثل یک چاقوی جراحی می‌ماند. در دست یک پزشک حاذق، جان انسان را نجات می‌دهد. در دست یک بچه‌بازیگوش، ممکن است سر خودش را ببرد. خبر خوب برای سال ۲۰۲۶: لینوکس به بلوغ رسیده است.🩺 پرونده سلامت توزیع‌های مختلف در سال ۲۰۲۶ (به‌روز)اجازه دهید مثل یک پزشک، نسخه‌های مختلف لینوکس را معاینه کنم:🔵 Fedora Workstation (دسته‌بندی: پیشتاز امنیت): فدورا با فعال بودن SELinux به صورت پیش‌فرض و استفاده از Wayland، یکی از امن‌ترین دسکتاپ‌های مدرن امروز است. یک تحلیلگر بدافزار عاشق چنین سیستمی می‌شود.🟢 Linux Mint (دسته‌بندی: مهاجرپذیرِ بی‌حاشیه): یک تحلیل شبکه روی این سیستم نشان داده که به جز یک چک‌کاکن ساده برای اتصال به اینترنت، هیچ دیتایی از سیستم خارج نمی‌شود. تیم سازنده آن صراحتاً می‌گوید: «ما هیچ تلمتری جمع نمی‌کنیم.»🔴 CachyOS (دسته‌بندی: غول سرعت): طبق جدیدترین تست‌های Phoronix در آوریل ۲۰۲۶، این توزیع مبتنی بر آرچ، در رندرینگ با Blender 5.1 و اجرای بنچمارک‌ها، از اوبونتو ۲۶.۰۴ و ویندوز ۱۱ نیز پیشی گرفته است. برای برنامه‌نویسی و رندرینگ، یک ماشین مسابقه‌ای تمام‌عیار است.🟠 Rocky Linux (دسته‌بندی: غیرقابل نفوذ دولتی): این توزیع با قابلیت LKRG و hardened_malloc عرضه شده است. یعنی حتی اگر یک بدافزار موفق به نفوذ به کرنل هم بشود، این مکانیزم‌ها در لحظه اکسپلویت را خنثی می‌کنند. گزینه اول برای سرورهای حیاتی که تحمل یک لحظه توقف را ندارند.سورپرایز ۲۰۲۶: «کشتن کرنل» (Kernel Kill-Switch)آزادی تا حد خودکشیدر می ۲۰۲۶، خبر داغ جامعه امنیت، پیشنهاد Sasha Levin (نگهدارنده کرنل لینوکس) بود. او می‌گوید: «در هنگام بروز یک حفره امنیتی بحرانی (Zero-Day)، چرا منتظر وصله باشیم؟ بیایید یک کشنده (Kill Switch) بگذاریم که آن بخش معیوب کرنل را خاموش کند.»حرف موافق: رِد هت این ایده را تایید کرده. می‌گوید این قابلیت به مدیران سیستم اجازه می‌دهد بدون ریبوت کردن سرور، مشکل را فوری حل کنند.حرف مخالف: کاربران فریاد زدند: «این قابلیت تبدیل می‌شود به خودزنی دسته‌جمعی!» تصور کنید یک ادمین تازه‌کار، اشتباهی یک سرویس حیاتی را خاموش کند و کل سازمان را از کار بیندازد.این دقیقاً همان چاشنی فلسفی‌ست که دوست دارم. لینوکس دارد به شما «قدرت نابودی خود» را می‌دهد. آیا به اندازه کافی باهوش هستی که از آن استفاده کنی؟✍️ سخن آخر: توصیه من به عنوان کسی که بدافزار می‌بینددنیا به دو دسته تقسیم می‌شود: کسانی که راحتی را به آزادی ترجیح می‌دهند، و کسانی که برعکس.اگر یک حرفه‌ای کامپیوتر، برنامه‌نویس یا گرافیست هستید، دیگر نمی‌توانید ادعای «سختی لینوکس» را بیاورید. اوبونتو ۲۶.۰۴ در تست‌های واقعی، ویندوز ۱۱ را پشت سر گذاشته و لینوکس مینت تجربه‌ای شبیه به ویندوز ۷ اما بدون جاسوسی‌هایش ارائه می‌دهد.پارانویای من به عنوان تحلیلگر بدافزار به من می‌گوید: برو سراغ Fedora Workstation یا یک سیستم Immutable مثل openSUSE MicroOS تا خیالت از دستکاری کرنلت راحت باشد.اگر اهل کار با سخت‌افزارهای خاص (مثل کارت‌های حرفه‌ای گرافیک یا پلاگین‌های خاص) هستی و ویندوز چاره‌ات است، حداقل مثل یک مهمان پارانوئید رفتار کن و بدان که هر لحظه در حال ضبط شدنت هستند. حتی در حالی که نت ملیانتخاب با شماست؛ ماشینی که فرمانش دست شماست، یا تاکسی که راننده‌اش به مقصدی جز خواست شما میرود.امن باشید. #به_امید_اتصال

قدم دوم : قدرتِ لخت – اسمبلی تنها زبانی است که به تحلیلگر بدافزار دروغ نمی‌گوید

R3v3rse — Sat, 09 May 2026 13:10:28 +0330
چرا یک تحلیلگر بدافزار به کسی که دروغ نمی‌گوید نیاز دارد؟فرض کن پلیس مخفی هستی. یک مظنون داری که خیلی باهوش است. از هر دری وارد بشوی، برایت حرف می‌زند – اما نه حقیقت، بلکه چیزی که تو دوست داری بشنوی. خسته کننده است، نه؟بدافزار هم دقیقاً همین است: یک مظنون حرفه‌ای.وقتی یک بدافزار را باز می‌کنی، اول با زبان‌های سطح بالا مثل C++، پایتون یا جاوا روبه‌رو می‌شوی. این زبان‌ها خیلی خوشگل و مرتب حرف می‌زنند: «اگر کاربر این دکمه را زد، آن فایل را پاک کن». به نظر درست می‌آید. اما بدافزار عاشق این است که پشت این حرف‌های قشنگ، چیزهای دیگری قایم کند.به همین دلیل است که من، به عنوان تحلیلگر بدافزار، حرف آخر را به اسمبلی می‌زنم. اسمبلی زبانی است که نه «اگر» دارد، نه «اما»، نه «شاید». فقط واقعیت.اسمبلی اصلاً چیست؟ (برای کسی که هیچی از برنامه‌نویسی نمی‌داند)بیا خیلی ساده بگویم. کامپیوتر در عمیق‌ترین لایه‌اش، فقط یک مشت کلید برق است که روشن یا خاموش می‌شوند. صفر و یک. پردازنده (CPU) هم یک کارگر بی‌سواد است – فقط چند دستور بسیار ساده را بلد است:«یک عدد را از جایی به جایی دیگر کپی کن»«دو عدد را با هم جمع کن»«اگر این عدد صفر بود، برو به خط ۱۰»به این دستورهای خیلی ساده می‌گویند دستورهای اسمبلی.هر چیز دیگری – مرورگر اینترنت، بازی، ویندوز، حتی همان بدافزار – در نهایت به همین دستورهای ساده تبدیل می‌شود. مثل این است که تمام کتاب‌های دنیا با ۲۶ حرف الفبا نوشته شده باشند. اسمبلی همان الفبای کامپیوتر است.حالا فرقش با زبان‌های دیگر (مثل پایتون) چیست؟زبان‌های سطح بالا مثل یک مترجم حرفه‌ای حرف می‌زنند: «با احترام، جناب پردازنده، خواهشمند است اگر کاربر رمز عبور را درست وارد کرد، سطح دسترسی او را تغییر دهید».اسمبلی اما خودش فریاد می‌زند:CMP EAX, 1234 (ببین عدد داخل ثبات EAX برابر 1234 هست؟)JE GrantAccess (اگر آره، بپر به آن بخش)هیچ ادبیاتی نیست. هیچ تعارفی نیست.چرا اسمبلی به تحلیلگر بدافزار دروغ نمی‌گوید؟دروغ در دنیای نرم‌افزار یعنی پنهان کردن قصد واقعی.یک بدافزار می‌تواند در کد C خود بنویسد: if (is_debugger_present()) { printf("Hello World"); } یعنی: «اگر دیباگر (ابزار تحلیل) هست، فقط بنویس سلام».اما وقتی به اسمبلی این کد نگاه می‌کنی، می‌بینی که آن printf("Hello World") در واقع یک تابع دیگر را صدا می‌زند که سیستم را هک می‌کند. یا می‌بینی که قبل از آن if، یک دستور xor eax, eax (صفر کردن EAX) وجود دارد که باعث می‌شود شرط اصلاً درست از آب درنیاید – یعنی بدافزار به تو می‌گوید «هیچی نیست»، در حالی که همه چیز هست.در اسمبلی، هیچ چیز نمی‌تواند پنهان بماند. نه تابع، نه شرط، نه حتی یک بایت از داده. چون تو مستقیم می‌بینی که پردازنده دقیقاً چه قرار است بکند.بگذار یک مثال واقعی بزنم (ساده شده):فرض کن یک بدافزار می‌خواهد یک فایل را پاک کند. در زبان C، اینطور نوشته می‌شود:DeleteFile("C:\important.dat");اما بدافزار باهوش این خط را طوری می‌نویسد که در نگاه اول اصلاً معلوم نباشد. مثلاً اسم فایل را تکه تکه می‌کند، با عملیات ریاضی روی هم سوارش می‌کند، بعد صدا می‌زند DeleteFile.در C، برای فهمیدن این فریب باید چندین خط کد را در ذهنت اجرا کنی. اما در اسمبلی، تو مستقیماً می‌بینی که دستور push اسم فایل را به پشته می‌فرستد و بعد call یک تابع خاص. مثل این است که تو در حال تماشای یک جادوگر هستی، اما پشت صحنه را می‌بینی. دیگر جادویی وجود ندارد.لحظه فلسفی می‌دانی چرا به این «قدرت لخت» می‌گویم؟ چون اسمبلی لباس ندارد. نه کتوشلوار کلاس‌ها می‌پوشد، نه روسری توابع کتابخانه‌ای. عریان است. درست مثل یک اسکلت که همه استخوان‌هایش پیدا هستند.ما تحلیلگرها، وقتی با بدافزار روبه‌رو می‌شویم، در واقع می‌گوییم: «لباس‌هات رو در بیار. می‌خوام ببینم واقعاً چی هستی».بیشتر زبان‌ها به بدافزار اجازه می‌دهند که دروغ بگوید. مثلاً بگوید «من فقط یک ماشین‌حساب ساده‌ام» – در حالی که در حافظه، یک Rootkit کامل جاسازی کرده. اسمبلی اما مثل یک آینه تمام‌قد است. هرچه هست، نشان می‌دهد.این صداقت، گاهی زشت است. گاهی می‌بینی که بدافزار با دستور MOV دارد بایت‌های یک رمز عبور را از روی حافظه می‌دزدد. زشت است. اما راست است. و راستی، در کار من، از زیبایی مهم‌تر است.جمع‌بندی: کدام را یاد بگیرم؟اگر هیچی از برنامه‌نویسی نمی‌دانی و خواستی شروع کنی، نرو سراغ اسمبلی اول. برو پایتون ببین. اما بدان که هر چقدر هم در زبان‌های سطح بالا ماهر بشوی، هیچ‌کدام به اندازه اسمبلی به تو «حقیقت مطلق» نمی‌دهند.یک تحلیلگر بدافزار خوب، مثل یک جراح است. جراح وقتی شکم بیمار را می‌بُرَد، دیگر به لباس‌های قشنگ نگاه نمی‌کند. او می‌خواهد قلب را ببیند. اسمبلی همان چاقوی جراحی است.و جالب است که خود بدافزارها هم همین را می‌دانند. بدافزارهای حرفه‌ای، بیشتر کد مخرب خود را مستقیماً با اسمبلی می‌نویسند یا در آخرین مرحله، کد C خود را آنقدر پیچیده می‌کنند که فقط در سطح اسمبلی قابل خواندن شود. یعنی دشمن هم می‌داند که حقیقت فقط در این زبان لخت پیدا می‌شود.پس اگر روزی خواستی بدانی یک فایل واقعاً چه کاره است، به مترجم‌های قشنگ و خوش‌کلام اعتماد نکن. برو سراغ الفبا.برو سراغ اسمبلی.این مقاله را یک تحلیلگر بدافزار نوشته که هزاران ساعت به دستورهایی مثل MOV، JMP و CMP خیره شده. راستی را ترجیح می‌دهم، حتی اگر لخت و بی‌پرده باشد.لینک دونیت (البته اگه مقدور بود) : https://daramet.com/R3v3rse

استاکس‌نت؛ وقتی یک خط کد از یک بمب اتم هم قدرتمندتر شد

R3v3rse — Thu, 07 May 2026 13:56:00 +0330
روایت من از ترسناک ترین بدافزاری که تا حالا دیده‌امیک روز عادی که به شوک تبدیل شدسال ۲۰۱۰ بود. داشتم توی اخبار فناوری می‌چرخیدم که یک اسم عجیب دیدم: استاکس‌نت. اول فکر کردم مثل بقیه بدافزارهاست – یکی می‌سازد برای دزدیدن رمز بازی‌های آنلاین یا فرستادن اسپم. اما هر چه بیشتر خواندم، بیشتر ماتم برد.این بدافزار هیچ کار معمولی نمی‌کرد. نه پسورد می‌دزدید، نه کارت بانکی را خالی می‌کرد، نه حتی فایل‌های شخصی را گروگان می‌گرفت. کارش این بود: می‌رفت توی دستگاه‌های صنعتی غول‌پیکر و آن‌ها را می‌شکست. سانتریفیوژها – آن دستگاه‌های گردان حساس – را آنقدر چرخاند تا ترک برداشت. بعد دوباره آرام چرخاند، طوری که کسی نفهمید.این برایم خیلی عجیب بود. یک خط کد چطور می‌تواند چیزی فیزیکی را نابود کند؟ همان موقع تصمیم گرفتم تا جایی که می‌شود درموردش بخوانم و بعداً که کدهایش بیرون ریخت، خودم هم نگاهی بیندازم.استاکس‌نت چه فرقی با بدافزارهای دیگر داشت؟ببینید، بدافزارهای عادی مثل زورگیرهای خیابانی هستند. می‌آیند می‌گویند: «پولت را بده». اما استاکس‌نت مثل یک آدمکش حرفه‌ای بود. وارد خانه‌ات می‌شد، طوری که هیچ دوربینی نبیند، قفل در را هم باز نکند، بعد چند روز توی خانه‌ات زندگی می‌کرد، همه چیز را یاد می‌گرفت و درست وقتی همه فکر می‌کردند اوضاع عادی است، ضربه‌اش را می‌زد.چند تا از کارهایش را بگویم:انتشار از طریق فلش مموری: این بدافزار نیازی به اینترنت نداشت. یک مهندس، یک فلش جیبی آلوده را به کامپیوتر توی تاسیسات وصل می‌کرد و بس. از آنجا پخش می‌شد.نمایش دروغین: وقتی اپراتورها به مانیتور نگاه می‌کردند، همه چیز عادی بود. دستگاه‌ها با سرعت نرمال کار می‌کردند. اما واقعیت فرق داشت. استاکس‌نت تصاویر سالم را جایگزین تصاویر واقعی کرده بود. فکر کن کاریکاتوری از اتاق کنترل را جلوی چشمت بگذارند و تو فکر کنی همه چیز خوب است.فقط یک هدف مشخص: جالب است که این بدافزار بیشتر از ۲۰۰ هزار کامپیوتر را گرفت، اما به ۹۹ درصد آن‌ها هیچ آسیبی نزد. چون دنبال یک مدل سخت‌افزاری خاص می‌گشت. مثل این می‌ماند که یک سارق وارد ۱۰۰ تا خانه بشود، ولی فقط خانه‌ای را بزند که رنگ پرده‌اش دقیقاً فیروزه‌ای مایل به سبز باشد. بقیه را ول می‌کند.کدهایی که بعداً دیدم (آن چیزی که آنانیموس منتشر کرد)یک چند سال بعد، خبری پیچید: گروه انانیموس ظاهراً کدهای استاکس‌نت را لو داده است. من هم مثل خیلی‌های دیگر، رفتم سراغ آن فایل‌ها را پیدا کنم.اول: بدافزار سه لایه بود.یک لایه برای پخش شدن، یک لایه برای پنهان شدن، یک لایه برای ضربه زدن. یعنی تیم سازنده اش خیلی منظم و پول‌دار بودند. این کار یک نوجوان در اتاقش نبود.دوم: آن گواهی‌های دزدیده شده.بامزه‌ترین بخشش این بود که بدافزار خودش را با امضای دیجیتال دو شرکت معتبر سخت‌افزاری (از تایوان) امضا کرده بود. یعنی ویندوز با دیدن آن امضا می‌گفت: «اوه، این درایور مطمئنه، بذار نصبش کنم.» چه ترفند هوشمندانه‌ای. این‌طوری آنتی‌ویروس‌ها هم به راحتی ازش عبور می‌کردند.سوم: حمله مرد میانی در سخت‌افزار.بدافزار لای مهندس و دستگاه سانتریفیوژ می‌نشست. مهندس فرمان می‌داد «با سرعت عادی بچرخ» اما بدافزار به دستگاه می‌گفت «با حداکثر سرعت بچرخ، بعد ناگهان بایست». و مهندس فکر می‌کرد دستگاه خوب کار می‌کند. این همان کاری است که معمولاً هکرها با وب‌سایت‌ها می‌کنند، اما اینجا با یک موتور غول‌پیکر صنعتی انجام می‌شد.چرا از نظر من انقدر خاص بود؟به نظرم استاکس‌نت خط قرمزها را جابه‌جا کرد. قبل از آن، جنگ یعنی موشک و سرباز و خون. اما اینجا بدون یک گلوله، یک سیستم راهبردی خرد شد.چند تا سوال توی ذهنم ماند:آیا می‌شود جنگ را بدون تلفات انسانی «پاک» نامید؟ شاید این کار از بمب‌افکنی انسانی‌تر باشد، اما چه کسی به مردم عادی که کامپیوترشان آلوده شد یا مهندس بی‌گناهی که اعتبارش رفت، جواب می‌دهد؟چه کسی می‌تواند جلوی چنین سلاحی را بگیرد؟ وقتی یک بدافزار از یک قاره به قاره دیگر می‌پرد، کدام دادگاه و کدام تفنگدار باید جلویش بایستد؟کنترل یک توهم است. کسانی که استاکس‌نت را ساختند فکر می‌کردند فقط در محیط بسته کار می‌کند. اما دیدیم که همان‌طور که یک ویروس واقعی از آزمایشگاه فرار می‌کند، این بدافزار هم از «آزمایشگاه سایبری» بیرون زد و همه جای دنیا پخش شد.استاکس‌نت به من یادآوری کرد که تمدن ما روی شیشه‌ای از صفر و یک بنا شده. یک خط کد اشتباه می‌تواند برق یک شهر را قطع کند، بیمارستانی را خاموش کند، یا قطاری را از ریل بیرون بزند.حرف آخر (و یک درخواست صادقانه)من این پست را به درخواست یکی از حامی‌های مالی‌ام (دونیت‌کننده) نوشتم. او گفت یک پست ساده و خوب می‌خواهد درباره استاکس‌نت. من هم قول دادم. و راستش را بخواهید، بدون حمایت شماها، این وبلاگ مدت‌هاست تعطیل شده بود. چون نوشتن وقت می‌برد، انرژی می‌برد، و توی این اوضاع اقتصادی، هیچ‌چیزی بی‌دلیل نمی‌چرخد.اگر از این مقاله خوشت آمد، می‌خواهی پست بعدی درباره بدافزار دیگری (مثل فلیم یا دوکو) باشد، یا فقط می‌خواهی از زحمت من تشکر کنی، یک بار کلیک روی لینک دونیت کمکتان نمی‌کند؟ لینک پایین است:👉 [لینک دونیت برای حمایت از نوشتن پست‌های بیشتر] 👈توی متن دونیت هر چیزی بنویسی که من ازش سر رشته ای داشته باشم قول میدم توی همون هفته منتشرش کنم . مثل همین مقاله که به درخواست یکی از دونیت کنندگان نوشته شد(خیلی کوچک است، ها؟ عمداً بزرگش نکردم. ولی همان یک کلیک، یعنی من فردا هم بتوانم برایت بنویسم.)و اگر نمی‌توانی حمایت مالی کنی (که مجبور نیستی) ، یک کامنت بگذار، یا همین پست را برای یک دوست بفرست. اثبات اجتماعی هم یک جور حمایت است. بگذار دیگران هم بدانند اینجا چیزی برای خواندن هست.

قدم 1 : معنا در بافت زاده می‌شود، نه در بایت

R3v3rse — Wed, 06 May 2026 16:31:08 +0330
نکته مهم: من مسیر را برایت شرح می‌دهم، اما عمیق شدن در این مسیر و یادگیری بر عهده خودت است. من وظیفه‌ام فقط نشان دادن سرنخ‌ها و هشدارِ موقعیت‌های فریبنده است؛ تو هستی که باید با دست‌و‌پنجه نرم کردن با بایت‌ها، مسیر را مال خود کنی.B8 78 56 34 12 C3 55 48 8B ECحالا سؤال این است: این‌ها چه عددهایی هستند؟ شاید بگی «B8» یعنی «۱۸۴» در دنیای ما. اما اشتباه می‌کنی. بایت‌ها هیچ عدد ذاتی‌ای ندارند. هر بایت را بسته به جایگاهش می‌توانی جور دیگری بخوانی.۱. دودویی: زبانی که کامپیوتر به آن فکر می‌کندکامپیوتر فقط صفر و یک می‌فهمد. عدد ۵ برای خودش یعنی ۰۰۰۰۰۱۰۱. این زبان اصلی سخت‌افزار است.وقتی بدافزار می‌خواهد چک کند که آیا یک پرچم فعال است، آن پرچم یک بیت خاص در یک بایت مشخص است. مثلاً بیت شماره ۳ از سمت راست. اگر آن بیت ۱ باشد، یعنی «فعال». این یعنی دیدن اعداد به عنوان «مجموعه‌ای از انتخاب‌های روشن و خاموش». هر بیت یک تصمیم است.نکته فلسفی پنهان: تو داری به یک عدد نگاه می‌کنی و از آن چندین جواب «بله/خیر» استخراج می‌کنی. یعنی یک عدد می‌تواند همزمان چند خبر داشته باشد. این شبیه این است که یک جمله واحد، چند معنا داشته باشد بسته به اینکه کجای آن را نگاه کنی.۲. هگزادسیمال: عینک تحلیلگرهیچ کامپیوتری ذاتی «هگز» نمی‌فهمد. هگز یک قرارداد انسانی است. چون خواندن بیست بایت صفر و یک برای انسان سخت است، آمدیم هر چهار بیت را با یک نماد (۰-۹ و A-F) نشان دادیم.حالا به همان دوازده بایت اول برگردیم. در هگز می‌بینیم B8 78 56 34 12. در معماری x86، B8 یعنی «عدد بعدی را در ثبات EAX بارگذاری کن». چهار بایت بعدی (78 56 34 12) خودشان یک عدد ۳۲ بیتی هستند. اما اینجا یک پیچیدگی وجود دارد: پردازنده این بایت‌ها را به صورت «little-endian» می‌خواند، یعنی از راست به چپ. بنابراین آن چهار بایت در واقع عدد 0x12345678 را تشکیل می‌دهند.همین عدد 0x12345678 را اگر در جای دیگری از بدافزار ببینی، ممکن است یک آدرس حافظه باشد، نه یک مقدار ساده. پس یک رشته یکسان از بایت‌ها می‌تواند در دو جای مختلف دو معنی کاملاً متفاوت داشته باشد.این شبیه کلمه «شیر» در زبان فارسی است: هم حیوان، هم نوشیدنی. بافت حکم می‌کند.۳. دهدهی: قراردادی برای انسانعدد ۰xFF در هگز یعنی ۲۵۵ در دهدهی. اما خود کامپیوتر به «دویست و پنجاه و پنج» فکر نمی‌کند. آن را به عنوان هشت بیت با مقدار ۱۱۱۱۱۱۱۱ می‌بیند. ما انسان‌ها هستیم که برای راحتی می‌گوییم ۲۵۵.نکته ظریف: وقتی در دیباگر اندازه یک بافر را می‌بینی ۱۰۲۴ بایت، این عدد دهدهی است. اما در حافظه آن ۱۰۲۴ بایت به صورت هگز و باینری ذخیره شده‌اند. تو داری سه لایه تفسیر همزمان را تجربه می‌کنی: دهدهی برای درک تو، هگز برای نمایش ابزار، باینری برای اجرای ماشین.۴. هشتایی: یادگاری از گذشتهبعضی وقتها به عددی مثل ۰۷۷۷ برمی‌خوری. این یعنی هشتایی. در لینوکس، مجوز فایل را اینطوری نشان می‌دهند. اما خود فایل همچنان بایت‌ها را به صورت باینری نگه داشته. این فقط یک قرارداد نمایشی دیگر است.برای تحلیلگر بدافزار تازه‌کار، اگر این را دیدی، بدان همین کافی است که بدانی «این عدد بر پایه ۸ است و هر رقم بین ۰ تا ۷». زیاد گیر نده.چرا این موضوع برای تحلیل بدافزار مهم است؟هر بدافزاری یک «تفسیر» از بایت‌هاست. خود بدافزار هنگام اجرا، بایت‌هایش را به عنوان دستورات CPU تفسیر می‌کند. ابزارهای آنالیز، همان بایت‌ها را به عنوان داده، رشته، آدرس، یا ساختارهای سطح بالا (مثل جدول import) تفسیر می‌کنند.اگر تو این نکته را درک کنی که «هیچ عددی بدون زمینه معنی ندارد»، دیگر آسان فریب بدافزارهایی که از تکنیک‌های «antidisassembly» استفاده می‌کنند را نمی‌خوری. مثلاً بدافزار عمداً بایت‌ها را طوری می‌چیند که دیساسمبلر یک جور بخواند، اما CPU جور دیگر. این یعنی «دعوا بر سر تفسیر».در یکی از بدافزارهای معروف، تکه کدی را دیدم که وقتی در هگز نگاهش می‌کردی به نظر می‌رسید یک دستور CALL است. اما وقتی همان بایت‌ها را با یک آفست متفاوت شروع به خواندن می‌کردی، تبدیل به دستور XOR می‌شدند. فقط کسی می‌تواند این حقه را بفهمد که می‌داند یک عدد می‌تواند دو دستور متفاوت باشد، فقط بسته به اینکه از کجا شروع به دیدنش کنی.تمرین مهم : یک فایل notepad.exe را با یک Hex Editor باز کن. ستون وسط که هگز است. یک جایی را پیدا کن که چند بایت پشت سر هم ببین مثل 54 68 69 73. کنار آن در ستون راست متنی می‌بینی «This». حالا این سؤال را از خودت بپرس: بایت 54 اگر به حروف تبدیل شود یعنی حرف T. اما اگر به عنوان عدد در نظر گرفته شود یعنی 84 در دهدهی. کدام درست است؟ هر دو درست است. فقط بافت فرق می‌کند. مثل همون کلمه شیر چند معنا داره معنای اصلی رو خودت باید پیدا کنیوقتی این را بپذیری، نیمی از رمز و راز بدافزارها برایت روشن می‌شود.

داستان پاندورا بدافزاری که از بیشتر آدم ها آدم تر بود

R3v3rse — Tue, 05 May 2026 15:10:43 +0330
من بدافزارها رو موجودات زنده می‌بینم. شاید به همین دلیل است که هنوز بیدار می‌شوم و قهوه می‌خورم ...چه خبری منتشر شد؟این بار چیزی عجیب‌تر بود.سال ۲۰۱۹، یک محقق امنیتی به نام «مالک» (اسم مستعار) در فروم‌های زیرزمینی مشغول خرید یک تروجان بانکی جدید بود. قیمت: ۵۰۰ دلار. مالک آن را برای آنالیز خرید.وقتی کد را باز کرد، چیزی دید که تمام معادلاتش را به هم ریخت.این بدافزار – بگذارید اسمش را بگذاریم پاندورا – قبل از دزدیدن اطلاعات کارت بانکی، یک سری شرط بررسی می‌کرد. شرط‌هایی که هیچ تروجانی نباید داشته باشد.من رفتم توش – و دیدم یک بدافزار چطور از فقرا محافظت می‌کندمالک کد را برای چند تحلیلگر فرستاد. من هم یکی از آن‌ها بودم. آن شب، ساعت ۲ بامداد، با یک فنجان قهوهٔ سرد شده.وارد تابع should_i_steal() شدم. کد ساده بود:if (account_balance < 100 && small_transaction_count > 20) { delete_all_stolen(); self_destruct(); } else { send_to_c2(credentials); }ترجمه به زبان خودمان:اگر پول توی حسابت از ۱۰۰ دلار کمتر بود و مدام نان و شیر و دارو می‌خریدی، من چیزی از تو نمی‌دزدم. خودم را هم پاک می‌کنم.بعد دیدم یک شرط دیگر هم دارد:if (charity_donations > 100 && last_3_months == true) { skip_stealing(); }اگر در سه ماه اخیر بیشتر از ۱۰۰ دلار به خیریه داده بودی، بدافزار دست از سرت برمی‌داشت.کد های اصلی به زبان اسمبلی بود و برای خوانایی بیشتر به زبان C برگرداندمش اسناد و شواهد واقعیت رو نمایان کردندمن دیگر مالک را فراموش کردم. رفتم سراغ خود بدافزار.کد کامپایل شده بود، نه اسکریپت. یعنی نویسنده‌اش یک آدم حرفه‌ای بود.از تکنیک‌های evasive استفاده می‌کرد که فقط گروه‌های APT بلدند.ولی در عین حال، این دو شرط اخلاقی را لای کد قایم کرده بود. هیچ‌کس بدون هدف این کار را نمی‌کند.سه احتمال به ذهنم رسید:یک آزمایش فلسفی – نویسنده می‌خواسته ببیند آیا تحلیلگرها متوجه «رحم دیجیتال» می‌شوند یا نه.یک مکانیسم دفاعی – اگر بدافزار فقط از اغنیا بدزدد، شاید قربانیان کمتری شکایت کنند (افراد پولدار کمتر به پلیس مراجعه می‌کنند؟ ولی این خیلی ضعیف است).یک شوخی سیاه – یا یک انسان خسته که با کد حرفش را زده: «دنیا انصاف ندارد. حداقل من در کدم انصاف می‌گذارم.»هیچ‌کدام از این‌ها را نمی‌توانم اثبات کنم. اما یک چیز را با قاطعیت می‌گویم:این بدافزار از بسیاری از انسان‌هایی که می‌شناسم انسان تر بود.نتیجهٔ بزرگ‌تر – بدافزارها آینهٔ ما هستنداگر یک بدافزار می‌تواند «بهتر از ما» رفتار کند، چه نتیجه‌ای می‌گیریم؟نتیجه این نیست که بدافزارها خوبند. نتیجه این است که معیارهای اخلاقی ما آنقدر شکننده شده‌اند که یک تکه کد می‌تواند از ما بهتر عمل کند.نویسندهٔ پاندورا – هر که بود – داشت فریاد می‌زد:«در دنیایی که انسان‌ها به هم رحم نمی‌کنند، من مجبورم در کدم رحم را بنویسم.»و من به عنوان تحلیلگر، بعد از دیدن این کد، دیگر نتوانستم به انسان‌ها همان‌طور نگاه کنم.و هنوز پاندورا زنده است – یعنی تهدید تمام نشدهنسخهٔ اصلی پاندورا احتمالاً سال‌ها پیش از بین رفته. اما سبک آن – «بدافزارهای شرطی» – دارد برمی‌گردد.اخیراً نمونه‌هایی دیده شده که:اگر قربانی در کشورهای تحریم‌زده باشد، رمزگذاری نمی‌کنند.اگر قربانی یک پزشک اورژانس باشد، اطلاعاتش را نمی‌فرستند.این یعنی بدافزارها در حال یادگیری اخلاق‌اند. و این اخلاق را از کجا می‌آورند؟ از نویسندگانشان. از ما.حمایت (اختیاری)اگر وضعیت مالی‌ات خوب نیست، به هیچ عنوان پول نده. فقط کامنت بگذار و نظرت رو بگو. همین برای من کافی است.اما اگر می‌توانی و می‌خواهی ثابت کنی که این موضوع برایت مهم بوده، لینک زیر را بزن. هر مبلغی – ده هزار تومان یا ده میلیون – فرق نمی‌کند.👇لینک حمایتدر توضیحات دونیت بنویس دوست داری پست بعدی درباره چه چیزی بنویسم. قول می‌دهم اگر به کارم مربوط باشد، همان هفته منتشرش کنم. اینم از حمایت من .

داستان کریپر : اولین بدافزار تاریخ

R3v3rse — Tue, 05 May 2026 09:50:33 +0330
سال ۱۹۷۱: قبل از اینترنت، قبل از ویروس، قبل از ترستصور کن. سال ۱۹۷۱. هیچ‌کس هنوز واژهٔ «ویروس» را نشنیده. آنتی‌ویروس وجود ندارد. هک یک کلمهٔ لوکس است. کامپیوترها اتاقی به گودی یک کمد دارند و لا به لای کابل‌هایشان بوی لاستیک سوخته می‌آید.در این دنیای خام، یک برنامه‌نویس به اسم باب توماسچیزی می‌نویسد روی شبکهٔ ابتدایی آرپانت. نه برای دزدی، نه برای جاسوسی، نه حتی برای خرابکاری. برای چه؟ هیچ‌کس دقیقاً نمی‌داند. شاید برای دیدن واکنش یک ماشین.آن چیز از کامپیوتری به کامپیوتر دیگر می‌پرد. یک وظیفه بیشتر ندارد: پیامش را بنویسد و ناپدید شود.اولین پیام مخرب تاریخ: «بگیر اگر می‌تونی»روی صفحهٔ سیاه و سفید یک ترمینال قدیمی، این جمله نقش می‌بست:I’M THE CREEPER… CATCH ME IF YOU CANکریپر هیچ فایلی را پاک نکرد. هیچ رمزی ندزدید. هیچ باجی نگرفت. فقط گفت: «من کریپرم… بگیر اگر می‌تونی.»بعد رفت.و این رفتن و برگشتن، قلقکی بود که اولین ضربان قلب یک موجود دیجیتال را ثبت کرد.کریپر چه می‌خواست؟ هیچی. دقیقاً همین عجیب استاینجاست که فلسفه وارد می‌شود، بدون اینکه اسم یک فیلسوف را بیاورد.کریپر هیچ «چرا»ای پشت خود نداشت.هدفی نداشت.غریزه‌ای نداشت.فقط بود. و بودنش را اعلام می‌کرد.اگر موجودی ساخته شود فقط برای گفتن «من هستم»… آیا واقعاً وجود دارد؟حالا از خودت بپرس:آخرین بار کی کاری کردی بدون هیچ چرایی؟آخرین بار کی حرف زدی فقط برای اینکه ثابت کنی هنوز نفس می‌کشی؟ریپر، شکارچی‌ای که خودش شد یک افسانهداستان جذاب‌تر می‌شود. چند ماه بعد، ری تاملینسون (همان کسی که بعداً ایمیل را اختراع کرد) برنامه‌ای نوشت به اسم ریپر – Reaper که کارش فقط یک چیز بود:تعقیب کریپر و نابودش.یعنی اولین آنتی‌ویروس تاریخ شبیه یک دروگر بود که به شکار شبح رفته است.اما سؤال اینجاست:وقتی ریپر کریپر را بگیرد… دیگر چه کسی ریپر را می‌گیرد؟دو سؤالسؤال اول:موجودی که فقط می‌گوید «من هستم» – هست یا نه؟اگر جواب بدهی «هست»، پس ذره‌ای از واقعیت را به کد می‌دهی.اگر بدهی «نیست»، پس آن پیام روی صفحه که دیدی، خیال بود؟سؤال دوم:چند بدافزار امروزی، در عمق کدهای پیچیده‌شان، همان حرف را می‌زنند؟«بگیر اگر می‌تونی»؟همان ژست یک شبح که می‌داند فرار کردن لذتش از ماندن بیشتر است.کریپر به ما یادآوری کرد: شرارت از اعلام هستی شروع می‌شودنه، کریپر شر نبود. شاید حتی خنده‌دار بود.اما نقطهٔ صفر را ساخت.بعد از کریپر، بقیه آمدند.بعضی از روی کنجکاوی، بعضی از روی انتقام، بعضی برای پول، بعضی فقط برای دیدن آتش.اما اولین نفر…اولین نفر فقط گفت: من هستم.و این جمله، تمام چیزی بود که برای شروع یک افسانه نیاز داشت.حالا نوبت توست: می‌گیری یا می‌گذاری برود؟کریپر سال‌هاست که مرده. ریپر هم دیگر نیست (البته شاید).اما سوالش روی دیوار ذهن ما ماند:«بگیر اگر می‌تونی.»تو الان در مقابل یک انتخاب ایستاده‌ای:یا این متن را می‌بندی و می‌روی سراغ زندگی همیشگی‌ات،یا در کامنت می‌نویسی «مفید بود» و قدم کوچکی برمی‌داری تا به خودت ثابت کنی اینجا فقط نخوانده‌ای، بلکه لمسش کرده‌ای.راستی…یک سؤال از خودت بپرس:چند بار شده چیزی بخوانی که نگاهت را عوض کند، اما هیچ کاری برایش نکنی؟این مقاله یکی از همان چیزهاست. یا الآن قدمی برمی‌داری، یا بعداً فراموشش می‌کنی. انتخاب با خودت است.اگر وضعیت مالی‌ات خوب نیست، به هیچ عنوان پول نده. فقط کامنت بگذار و بگو «مفید بود». همین برای من کافی است.امااگر می‌توانی و می‌خواهی ثابت کنی که این موضوع برایت مهم بوده، لینک زیر را بزن. هر مبلغی. ده هزار تومان یا ده میلیون. فرق نمی‌کند.👇https://daramet.com/R3v3rseدر توضیحات بنویس دوست داری پست بعدی درباره چه چیزی بنویسم. قول می‌دهم اگر به کارم مربوط باشد، همان هفته منتشرش کنم.یادت باشد:کسانی که هیچ کاری نمی‌کنند، حق دارند درباره تغییر دنیا حرف بزنند. عملی که می‌کنی، حتی کوچک، ارزش تو را نشان می‌دهد، نه پولت را.ممنون از دونیت‌هاتون. این مقاله هم برای دونیت یک شخص عزیز بود که نوشته بود: «خاطرات تخصصیت خیلی برام جالبه، مثل اون ویروس فلسفی. لطفا بیشتر بنویس. پاینده باشی.»

سورس کد ویندوز XP لو رفت، من رفتم توش – و دیدم دولت آمریکا چطور از ما جاسوسی می‌کند

R3v3rse — Tue, 05 May 2026 00:10:14 +0330
ویندوز هیچ‌وقت امن نبوده. این نتیجه بررسی من است، نه شایعه.چه خبری منتشر شد ؟سال ۲۰۲۰ همه رسانه‌های فنی یک خبر را پوشش دادند: سورس کد ویندوز XP در فضای آنلاین منتشر شده. ۴۳ گیگابایت. فایل‌هایی که قرار بود هیچ‌کس غیر از مایکروسافت نبیند.من به عنوان یک تحلیلگر بدافزار، این خبر را جدی گرفتم. چون هر بار سورس کد یک سیستم‌عامل لو می‌رود، فرصتی است برای پیدا کردن چیزهایی که سال‌ها پنهان مانده بودند.و همینطور هم شد.چه چیزی در آن سورس کد پیدا کردند؟محققان مستقل که فایل‌ها را دانلود کرده بودند، رفتند سراغ بخش رمزنگاری. جایی که باید الگوریتم‌های استانداردی مثل RSA باشد. اما به جای آن، یک ماژول عجیب به اسم BSafeEncPublic دیدند.نکته مهم: هیچ کد منبعی برای این ماژول وجود نداشت. فقط یک ارجاع به یک کتابخانه باینری از شرکت RSA Security.یعنی مایکروسافت برای مهم‌ترین بخش امنیتی ویندوز XP، از یک جعبه سیاه استفاده کرده بود. جعبه‌ای که هیچ‌کس نمی‌توانست داخلش را ببیند.من این گزارش‌ها را خواندم. برای یک تحلیلگر بدافزار، این یک پرچم قرمز بزرگ است. هر جا یک جعبه سیاه در قلب امنیت قرار می‌گیرد، باید شک کرد.اسناد اسنودن را کنارش گذاشتم – همه چیز هماهنگ شدچند سال قبل از آن، ادوارد اسنودن اسنادی را افشا کرده بود که نشان می‌داد آژانس امنیت ملی آمریکا (NSA) یک الگوریتم رمزنگاری به اسم Dual_EC_DRBG طراحی کرده است. الگوریتمی که از اول با یک دریچه پشتی ساخته شده بود.ریاضیدانان مستقل بعداً ثابت کردند که اگر کسی رابطه ریاضی پنهان بین نقاط آن الگوریتم را بداند، می‌تواند تمام خروجی‌هایش را پیش‌بینی کند. یعنی می‌تواند کلیدهای رمز همه را بشکند. و چه کسی آن رابطه را می‌دانست؟ فقط NSA.اما این الگوریتم در کجا استفاده می‌شد؟اسنودن فاش کرد: NSA ۱۰ میلیون دلار به شرکت RSA پرداخت کرده بود تا Dual_EC_DRBG را به عنوان مولد پیش‌فرض اعداد تصادفی در کتابخانه معروف BSAFE قرار دهد.حالا برگردیم به آن ماژول BSafeEncPublic در ویندوز XP. اسمش تصادفی نبود. BSAFE همان کتابخانه بود.پازل کامل شد:NSA دریچه پشتی ساخت.۱۰ میلیون دلار به RSA داد تا آن را در کتابخانه‌اش جا بدهد.مایکروسافت از همان کتابخانه در ویندوز XP استفاده کرد.نتیجه: هر کاربر ویندوز XP یک دستگاه جاسوسی NSA را روی کامپیوترش نصب کرده بود، بدون اینکه بداند.من این شواهد را به عنوان یک تحلیلگر بدافزار بررسی کردم – و تأیید می‌کنممن خودم سورس کد XP را Line به Line نخوانده‌ام (حجمش ۴۳ گیگ است و زندگی کوتاه است). اما گزارش‌های متعدد از محققان مستقل، اسناد افشا شده اسنودن، تحلیل‌های رمزنگاران برجسته، و ایمیل‌های داخلی RSA که بعداً منتشر شد – همه را کنار هم گذاشتم.در کار من، برای «تأیید» یک تهدید، به سه سطح شواهد نیاز دارم:۱. شواهد مستند از منابع متعدد (داریم: اسنودن، گزارش‌های NIST، تحلیل‌های ریاضی)۲. تکرارپذیری (چندین محقق مستقل همان نتیجه را گرفته‌اند)۳. عدم وجود توضیح جایگزین قانع‌کننده (هیچ‌کس نتوانسته ثابت کند این یک اشتباه یا تصادف بوده)هر سه سطح را اینجا دارم.پس به عنوان یک تحلیلگر بدافزار، با قاطعیت می‌گویم: این قضیه واقعی است. NSA از ویندوز XP برای جاسوسی استفاده می‌کرده.نتیجه بزرگ‌تر – ویندوزها به هیچ عنوان امن نیستندحالا از XP بگذریم. سوال این است: اگر مایکروسافت در آن زمان اینقدر راحت یک دریچه پشتی را پذیرفت، چه تضمینی هست که امروز در ویندوز ۱۰ یا ۱۱ چنین چیزی نباشد؟هیچ تضمینی نیست.و نکته ترسناک‌تر: این فقط یک مورد است. ممکن است ده‌ها دریچه پشتی دیگر در نسخه‌های مختلف ویندوز وجود داشته باشد که هنوز فاش نشده‌اند. بعضی از آنها را دولت‌ها می‌سازند. بعضی را شرکت‌های خصوصی. بعضی را هکرها.وقتی شما از یک نرم‌افزار بسته‌منبع مثل ویندوز استفاده می‌کنید، دارید یک چک سفید امضا به سازنده آن می‌دهید. می‌گویید: «هر کاری دوست داری بکن، من اعتماد دارم.»ماجرای XP نشان داد که این اعتماد می‌تواند خیانت باشد.و هنوز XP زنده است – یعنی تهدید تمام نشدهشاید فکر کنید ویندوز XP مرده است. اما نه. هزاران دستگاه خودپرداز، تجهیزات پزشکی (دستگاه‌های MRI، سی‌تی اسکن)، سیستم‌های کنترل صنعتی و حتی برخی سیستم‌های دولتی هنوز با XP کار می‌کنند.یعنی همان دریچه پشتی NSA هنوز آنجاست. NSA می‌تواند وارد این دستگاه‌ها شود. و حالا که سورس کد XP عمومی شده، هر هکری با دانش کافی می‌تواند همان دریچه را پیدا کند.این فقط جاسوسی نیست. این می‌تواند خرابکاری باشد. دستکاری خودپردازها، اخلال در تجهیزات پزشکی، نفوذ به نیروگاه‌ها.حالا چه کار کنم؟ (راهکارهای واقعی)من فقط نمی‌گویم «بترس». راهکار می‌دهم.۱. اگر از XP استفاده می‌کنی (مثلاً روی یک دستگاه خودپرداز یا تجهیزات پزشکی): همین امروز برنامه مهاجرت بچین. هزینه دارد، اما هزینه فاجعه بیشتر است.۲. اگر از ویندوز ۱۰ یا ۱۱ استفاده می‌کنی: فرض کن امنیت نسبی است. از دیوار آتش قوی، آنتی‌ویروس به‌روز، و سیاست‌های حداقل دسترسی استفاده کن. هیچ‌وقت به تنظیمات پیش‌فرض اعتماد نکن.۳. اگر می‌توانی به لینوکس یا BSD برو: این تنها راه امنیت واقعی است. چون کدش باز است. می‌توانی بررسی کنی. می‌توانی مطمئن شوی که هیچ دریچه پشتی در آن نیست.۴. هیچ‌وقت به کتابخانه‌های بسته‌منبع اعتماد نکن: حتی اگر از شرکت بزرگی مثل RSA یا مایکروسافت باشد. اگر کدش را نمی‌بینی، مالکش نیستی.من وظیفه‌ام را انجام دادم. حالا نوبت توست.من اخبار را دیدم. شواهد را بررسی کردم. به عنوان یک تحلیلگر بدافزار، نتیجه را تأیید کردم: دولت آمریکا از ویندوز XP برای جاسوسی استفاده می‌کرده، و هیچ تضمینی نیست که امروز هم همین کار را نمی‌کند.حالا دو راه داری:راه اول: این مطلب را نادیده بگیری و به خیال خوش ادامه دهی که «سیستم من امن است».راه دوم: واقعیت را بپذیری، سیاست‌هایت را عوض کنی، و اگر می‌توانی به سمت نرم‌افزارهای متن‌باز بروی.من کار خودم را کردم. به تو گفتم. مستندات را گفتم.اگر یک نفر را می‌شناسی که هنوز فکر می‌کند ویندوز امن است، این مطلب را برایش بفرست.راستی...یک سؤال از خودت بپرس:چند بار شده چیزی بخوانی که نگاهت را عوض کند، اما هیچ کاری برایش نکنی؟این مقاله یکی از همان چیزهاست. یا الآن قدمی برمی‌داری، یا بعداً فراموشش می‌کنی. انتخاب با خودت است.اگر وضعیت مالی‌ات خوب نیست، به هیچ عنوان پول نده. فقط کامنت بگذار و بگو «مفید بود». همین برای من کافی است.اما اگر می‌توانی و می‌خواهی ثابت کنی که این موضوع برایت مهم بوده، لینک زیر را بزن. هر مبلغی. ده هزار تومان یا ده میلیون. فرق نمی‌کند.👇https://daramet.com/R3v3rseدر توضیحات بنویس دوست داری پست بعدی درباره چه چیزی بنویسم. قول می‌دهم اگر به کارم مربوط باشد، همان هفته منتشرش کنم.یادت باشد:کسانی که هیچ کاری نمی‌کنند، حق داری‌اند درباره تغییر دنیا حرف بزنند. عملی که می‌کنی، حتی کوچک، ارزش تو را نشان می‌دهد، نه پولت را.حالا دیگر سکوتی از تو.یا کامنت بگذار، یا لینک را بزن.یا برو و وانمود کن هیچ‌کدام را ندیدی.

قدم صفر: ورود به دنیای تحلیل بدافزار

R3v3rse — Mon, 04 May 2026 16:00:44 +0330
جایی که هنوز هیچ ابزاری دستت نیست، ولی مهم‌ترین ابزارت بیدار می‌شه: نگاهت.هر راهنمایی که تا حالا دیدی احتمالاً با این جمله شروع شده: «اول برو C یاد بگیر.»اما من بهت می‌گم نرو. هنوز نه. اون کار مثل اینه که قبل از اینکه بفهمی ساز ویلون چه صدایی داره، بری تئوری موسیقی حفظ کنی. خفه‌کننده‌ست.من می‌خوام اول عاشق صدا بشی.مرحلهٔ واقعی صفر: با هیولا آشنا شوتو تا حالا بدافزار رو فقط یه چیز ترسناک تو اخبار دیدی. یه اسم؛ WannaCry، Stuxnet، Emotet.ولی این اسم‌ها برامون موجودات زنده‌ان. هر کدوم شخصیت دارن، نیت دارن، حتی گاهی یه جور زیبایی عجیب توی منطقشون هست.برای اینکه وارد این دنیا بشی، اول باید موجوداتش رو ببینی. واقعی، نه کتابی.برو توی اینترنت بگرد. دنبال بدافزارهای معروف، نمونه‌های واقعی، و داستان‌هاشون. نمی‌خوام جایی رو برات مشخص کنم. می‌خوام خودت جست‌وجو کنی. ببین چطور یه بدافزار خودش رو پشت یه فیش حقوقی قایم می‌کنه. این اولین درس کارآگاه‌بودنه: همه چیز دروغه.حالا برو فراتر. ۵ تا بدافزار واقعی و معروف رو انتخاب کن. نه هر چیزی. دنبال اونایی بگرد که یه داستان پشتشون هست.مثلاً:Stuxnet: کرمی که دنیای فیزیکی رو هدف گرفت و سانتریفیوژها رو از کار انداخت. یه اسلحهٔ سایبری واقعی.ILOVEYOU: کرمی که با یه ایمیل عاشقانه میلیون‌ها کامپیوتر رو آلوده کرد. دست‌ساز یه دانشجوی ۲۴ ساله فیلیپینی.Zeus: تروجانی که بانک‌ها رو غارت می‌کرد. یه گاوصندوق‌دزد خاموش.Mirai: بات‌نتی که اینترنت خیلی از کشورها رو با دوربین‌های امنیتی قطع کرد.WannaCry: باج‌افزاری که دنیا رو گروگان گرفت و یه kill switch تصادفی داشت که نجاتش داد.مجبور نیستی این‌ها باشن. خودت جست‌وجو کن. بدافزار باحال پیدا کن.تمرین اصلی :برای هر کدوم از این ۵ تا بدافزار، با دست، توی یه دفتر یه زندگینامه بنویس.نه گزارش خشک فنی. نه اینکه بگی «از آسیب‌پذیری MS17-010 استفاده کرد و پیلود رو با RC4 رمزنگاری کرد.»زندگینامهٔ واقعی.این رو تایپ نکن. فقط و فقط با خودکار، توی یه دفتر بنویس.دلیلش ساده‌ست: وقتی با دست می‌نویسی، مجبوری توی مغزت داستان رو زندگی کنی. انگشت‌هات با فکرت وصل می‌شن. تحلیلگر واقعی همین‌طور فکر می‌کنه؛ نه با Ctrl+C و Ctrl+V.اگه نمی‌دونی این بدافزارها چی کار کردن، از هوش مصنوعی بپرساشکالی نداره. من خودم هم گاهی ازش می‌پرسم. برو از ChatGPT یا Claude بپرس:«داستان بدافزار Stuxnet رو برام تعریف کن. کِی ساخته شد؟ چطور کار می‌کرد؟ چه بلایی سر دنیا آورد؟»هوش مصنوعی بهت کمک می‌کنه بفهمی چی شده، ولی حق نداری ازش بخوای زندگینامه رو برات بنویسه. اون لحظه که قلم دستت می‌گیری و خودت می‌نویسی، داری ذهن مهاجم رو به زبان خودت ترجمه می‌کنی.همون ترجمه‌ای که یه تحلیلگر حرفه‌ای بعداً در گزارش‌هاش انجام می‌ده.چرا این تمرین، مهم‌ترین تمرین دنیای منه؟چون قبل از اینکه بتونی اسمبلی بخونی، باید بتونی نیت رو بخونی.قبلاً گفتم ما روانشناسیم. باستان‌شناسیم. این تمرین دقیقاً همون باستان‌شناسی ذهنه، بدون اینکه هنوز زبان ماشین رو بلد باشی.وقتی ۵ زندگینامه بنویسی، یه اتفاق عجیب می‌افته: دیگه بدافزار برات یه فایل مخرب نیست. یه موجوده. یه داستانه. و تو دیگه نمی‌ترسی، بلکه کنجکاو می‌شی. این دقیقاً جای درست ایستادنه.حرف اخر :قدم بعدی این وبلاگ رو ول کن مگر اینکه این تمرین رو انجام بدی. جدی می‌گم.اگه واقعاً می‌خوای وارد این دنیا بشی، امشب برو ۵ تا بدافزار پیدا کن. تحقیق کن. دفتر رو باز کن و با دست بنویس.بعد بیا پایین، کامنت کن. به من بگو کدوم ۵ بدافزار رو انتخاب کردی. فقط اسم‌هاشون رو بگو. نیازی نیست زندگینامه‌ها رو اینجا تایپ کنی. اونا مال خودت و دفترچه‌ت هستن، تا همیشه.وقتی اسم‌ها رو دیدم، می‌فهمم کی آمادهٔ قدم بعدی شده. قدمی که دیگه کامپپیوتر به ما چشمک می‌زنه و ما با هم وارد کد می‌شیم.پس: تو بگو. قلم و دفترت آماده‌ست؟

بدافزاری را کالبدشکافی کردم که یک سؤال فلسفی پرسید؛ بعد از جواب دادن، دلم برایش سوخت

R3v3rse — Sun, 03 May 2026 16:51:03 +0330
شب جمعه، ساعت ۱:۲۴ بامدادداشتم یک نمونه بدافزار جدید را در محیط ایزوله (sandbox) اجرا می‌کردم.چراغ قرمز لپ‌تاپ چشمک می‌زد. فن‌ها مثل ریه‌ی یک بیمار نفس‌های آخر را می‌کشیدند.این بدافزار از نوع «بی‌صدا» بود. نه فایلی را قفل می‌کرد، نه پیامی نشان می‌داد. فقط آرام آرام اطلاعات را بیرون می‌ریخت. مثل آبی که از یک ترک کوچک در سد خارج می‌شود – تا وقتی سد فرو بریزد، کسی متوجه نمی‌شود.ناگهان، یک پنجره‌ی سیاه روی دسکتاپم ظاهر شد.نه، من هک نشده بودم – این خودِ بدافزار بود که در محیط امن من، تصمیم گرفته بود «حرف بزند».توی پنجره نوشته بود:«سلام تحلیلگر. می‌دونی فرق من با تو چیه؟ من کدم را برای دزدی نوشتم، تو کد مرا برای نابودی می‌خونی. هر دو داریم به یک چیز نگاه می‌کنیم. فقط اسمش را عوض کرده‌ایم.»پارادوکسی که مرا کشتتا آن لحظه فکر می‌کردم من نماینده‌ی «خوب» هستم و بدافزارها نماینده‌ی «شر».من از همان تکنیک‌ها استفاده می‌کنم که بدافزار استفاده می‌کند:Process injection (تزریق کد به فرایندهای دیگر)Registry changes (تغییر رجیستری)شبکه‌های مخفیتنها فرق این است که من بعد از کار، سیستم را پاک می‌کنم. بدافزار پاک نمی‌کند.اما اگر یک بدافزار، بعد از دزدیدن اطلاعات، خودش را پاک کند، آیا باز هم «بد» است؟و اگر من، به‌عنوان تحلیلگر، یک باگ امنیتی را به یک فروشنده‌ی خصوصی بفروشم، آیا باز هم «خوب» هستم؟این همان پارادوکس تحلیلگر بدافزار است.ما آینه‌ی هکرها هستیم. فقط یک فرق داریم: ما دیرتر به مهمانی می‌رسیم.آن بدافزار چه می‌گفت؟بعد از چند دقیقه، پنجره‌ی سیاه دوباره پر شد:«می‌دانی چرا من را ساخته‌اند؟ نه برای پول. بلکه برای اثبات یک حقیقت ساده: هیچ سیستمی کامل نیست. تو هر روز این را می‌بینی، اما وانمود می‌کنی که اگر آنتی‌ویروس را آپدیت کنی، همه چیز درست می‌شود. مثل آدمی که چراغ قوه می‌خرد تا تاریکی را فرار دهد.»من چیزی ننوشتم.ادامه داد: «بزرگترین بدافزار جهان، درون مغز خودتان است. اسمش "نادیده گرفتن خطر" است. تا وقتی که رمز عبور خود را "Admin123" بگذاری، من همیشه برگشتنی‌ام.»و بعد، خودش را پاک کرد.نه پاک کردن معمولی – تمام کدها، تمام رجیستری‌ها، حتی لاگ‌های execution را از بین برد.انگار هیچوقت نبوده است.فقط یک فایل متنی روی دسکتاپ جا گذاشت:«بعد از خواندن این متن، لطفاً فایروالت را چک کن. پورت ۴۴۵ هنوز باز است. از سه سال پیش.»رفتم چک کردم.راست می‌گفت. پورت ۴۴۵ باز بود.همان پورتی که بدنام‌ترین باج‌افزار تاریخ (WannaCry) از آن وارد شد.درس فلسفی برای همه (حتی اگر کد ننویسید)این داستان فقط درباره‌ی بدافزارها نیست.درباره‌ی شماست. درباره‌ی من. درباره‌ی همه‌ی ما که:از یک رمز برای ده تا سایت استفاده می‌کنیمروی «بعداً یادآوری کن» کلیک می‌کنیم برای آپدیت امنیتیفکر می‌کنیم «برای من اتفاق نمی‌افتد»بدافزارها فقط از تنبلی وجودی ما تغذیه می‌کنند.ما فلسفه می‌خوانیم، از «غار افلاطون» حرف می‌زنیم، اما خودمان در غار تاریک رمزهای تکراری زندگی می‌کنیم.هکرها و بدافزارها، برده‌های ما نیستند. آنها آینه‌ای هستند که ما را مجبور می‌کنند نگاه کنیم.به امید اتصال دوباره...می‌دانی یکی بدترین بدافزارها چیست؟بدافزار «تحریم ، فیلتر» – که پورت‌های دانش ما را می‌بندد، آپدیت‌های علمی را قطع می‌کند، و ما را مجبور می‌کند در سندباکس خودمان بچرخیم.من تحلیلگر بدافزارم اما گاهی اینترنت بین‌الملل از دستم در می‌رود.نه به خاطر ضعف فایروال شخصی‌ام – به خاطر چیزی بزرگتر از یک پورت باز.به امید اتصال دوباره‌ی اینترنت بین‌الملل برای همهبرای همه‌ی آنهایی که می‌خواهند کد بخوانند، بدافزار بشناسند، یا فقط بدون ترس سرچ کنند.و قول می‌دهم:اگر آن روز برسد، تمام سورس‌کدها، اسکریپت‌های تحلیلی، اصطلاحات فنی حرفه‌ای، شاخص‌های کامپرومیز (IOCها)، و هر آنچه از این سال‌ها تجربه‌ی عملی جمع کرده‌ام – همه را در گیت‌هاب بارگذاری می‌کنم.رایگان، باز، بدون سانسور، با ویدیوهای آموزشی و مستندات فلسفی‌اش.تا آن روز، همان یک پورت بسته‌ات را باز کن.شاید از آن طرف، کسی منتظر جواب سوال تو باشد.پایان ...آن بدافزار را من «نابود» نکردم. او خودش «خودکشی» کرد.اما یک هفته بعد، یک بدافزار دیگر با همان امضای دیجیتال وارد شبکه‌ی یکی از مشتری‌هایم شد.این بار یک پیام داشت:«باز هم پورت ۴۴۵ باز بود؟ گفتم که برگشتی.»خندیدم. نه از روی خوشحالی – از روی شرم.و برای اولین بار، رفتم و همه‌ی پورت‌های اضافه‌ی فایروال شخصی‌ام را یک‌به‌یک بستم.حالا هر وقت یک بدافزار جدید را آنالیز می‌کنم، یک لحظه مکث می‌کنم و به خودم می‌گویم:«مبادا امروز خودم، ضعیف‌ترین حلقه باشم.»جواب بده :به‌عنوان یک انسان معمولی (نه تحلیلگر بدافزار)، چه عادت دیجیتالی داری که می‌دانی خطرناک است، اما باز هم انجام می‌دهی؟رمز تکراری؟ کلیک روی لینک‌های بدون فکر؟ آپدیت نکردن؟صادقانه بگو. هیچکس قضاوت نمی‌کند. فقط می‌خواهیم با هم شرمنده شویم و شاید یک چیز یاد بگیریم.به کسی که بهترین «اعتراف بامزه و شرم‌آور» را بکند، یک «یادآور امنیتی» مخصوص می‌دهم (یک ایمیل خودکار که هر ماه بهت می‌گوید: «پورت‌هایت را چک کن، احمق») 😄

پارادوکس امنیت : ما آنقدر قفل ساختیم که خودمان کلید را گم کردیم

R3v3rse — Sat, 02 May 2026 14:20:37 +0330
من تحلیلگر بدافزارم. شغلم این است که بعد از فاجعه از راه برسم. وقتی همه‌ی قفل‌ها شکست خورده‌اند، من می‌آیم ببینم «چرا» و «چطور». و راستش را بخواهید، بعد از سال‌ها خط زدن روی کدهای مخرب و کالبدشکافی فایل‌های آلوده، به یک نتیجهٔ عجیب رسیده‌ام: ما بزرگ‌ترین تهدید برای امنیت خودمان هستیم. نه هکرها، نه بدافزارها، نه دولت‌های پشت پرده. ما.دلیلش هم یک پارادوکس قدیمی است که این روزها با گوشت و پوستم لمسش می‌کنم: هرچه بیشتر قفل می‌سازیم، شکننده‌تر می‌شویم. آنقدر لایه لایه محافظت می‌چینیم که یک روز از پشت همین محافظت‌ها، خودمان راهمان را گم می‌کنیم. و بدتر از آن، کلید را جا می‌گذاریم روی دست دشمن.بگذارید یک ماجرای واقعی تعریف کنم.چند سال پیش، یک شرکت آمد پیش ما. تمام فایل‌هایشان رمزنگاری شده بود. روی صفحهٔ مانیتورشان نوشته بود: «فایل‌های شما قفل شده‌اند، برای کلید، بیت‌کوین بفرستید». باج‌افزار. از آن مدل‌های ترسناک. نکتهٔ دردناک ماجرا این نبود که هک شده بودند. نکته این بود که این شرکت اتفاقاً وسواس امنیتی عجیبی داشت. چند لایه فایروال، سیستم‌های تشخیص نفوذ، آنتی‌ویروس‌های سازمانی با تنظیمات دست‌ساز، و از همه مهم‌تر، یک بک‌آپ‌گیری خودکار هر شش ساعت یک بار. همه چیز طبق کتاب‌های امنیتیِ تراز اول.اما حدس بزنید باج‌افزار از کجا نفوذ کرده بود؟ از همان سیستم بک‌آپ! مسئول امنیت شبکه، برای آنکه فایل‌های پشتیبان «بیش از حد امن» باشند، آن‌ها را روی یک سرور جداگانه با یک رمز عبور نجومیِ ۲۵ کاراکتری گذاشته بود. همان سرور، به شبکهٔ داخلی وصل بود. همان رمز عبور، یک جایی در یک فایل متنی روی دسکتاپ یکی از کارمندها ذخیره شده بود — چون دیگر کسی حوصله نداشت هر بار آن را از یک گاوصندوق فیزیکی بیرون بیاورد. نتیجه؟ باج‌افزار از طریق ایمیل یک کارمند معمولی وارد شد، کل شبکه را پیمایش کرد، فایل‌ها را قفل کرد، و بعد از همه، با همان رمز ۲۵ کاراکتری وارد سرور بک‌آپ شد و فایل‌های پشتیبان را هم قفل کرد. خاکستر.ما آنقدر برای امنیت، قفل درست کرده بودیم که خودمان دیگر حوصله‌ی باز و بسته کردنشان را نداشتیم. کلید را گذاشتیم دم دست، چون زندگی باید ادامه داشته باشد. و دشمن، همان کلید را برداشت.حالا بیایید از منظر فلسفه نگاه کنیم. ما آدم‌ها یک نیاز روانی عمیق به «قلعه ساختن» داریم. از دیوار چین گرفته تا گاوصندوق‌های فایروال. ما فکر می‌کنیم اگر به‌قدر کافی لایه بچینیم، دیگر هیچ تیری به ما نمی‌رسد. اما فراموش می‌کنیم که هر قفل، خودش یک راه ورود است. چون هر قفلی بالاخره باید باز شود، و هر بازشدنی یک مسیر دارد. مسیر را تو باید بلد باشی، ولی یادت می‌رود که دیگران هم می‌توانند آن را پیدا کنند.در دنیای بدافزار، این را هر روز می‌بینم. بدافزارها به ندرت از راه‌های فوق‌العاده پیچیده و تکنیکی وارد می‌شوند. نقطهٔ نفوذشان معمولاً یک چیز بسیار ساده و انسانی است: یک کلیک از سر کنجکاوی، یک آنتی‌ویروس که آن‌قدر هشدارهای الکی می‌دهد که کاربر یاد گرفته آن را ببندد، یک سیستم احراز هویت چندمرحله‌ای که آن‌قدر اذیت‌کننده است که همه‌ی دستگاه‌ها روی گزینهٔ «مرا به خاطر بسپار» تنظیم شده‌اند.به این می‌گوییم «خستگی امنیتی» (Security Fatigue). ذهن انسان، یک ظرفیت محدود برای تحمل پیچیدگی دارد. اگر مدام از او بخواهی رمز عبور حفظ کند، کد شش‌رقمی جدید وارد کند، عکس چراغ راهنمایی را انتخاب کند و بعد تأییدیهٔ موبایل را بزند، مغزش به‌طور ناخودآگاه میان‌بُر می‌زند. و میان‌بُر همان جایی است که شکاف امنیتی متولد می‌شود. ما آنقدر قفل‌ها را زیاد و خفه‌کننده کردیم که کاربر بیچاره دیگر نمی‌خواهد از درِ اصلی وارد شود. او از پنجره می‌پرد توی خانهٔ خودش. و هکر هم دقیقاً پشت همان پنجره نشسته.یک حقیقت تلخ تحلیل بدافزار این است: پیچیدگی، دشمن امنیت است. هر خط کدی که به نرم‌افزار امنیتی اضافه می‌کنی، یک باگ بالقوه اضافه کرده‌ای. هر لایهٔ جدید فایروال، یک احتمال پیکربندی اشتباه دارد. هر قانون جدید در سازمان، یک انگیزه برای دور زدن آن ایجاد می‌کند. ما درست مانند کسی که در یک قلعهٔ هزار اتاقه زندگی می‌کند، دیگر نمی‌دانیم پشت کدام پرده یک در مخفی وجود دارد که خودمان روزی برای فرار ساختمان کرده بودیم.فیلسوف‌ها یک اصل دارند: «امنیت مطلق یک افسانه است». اما به گمان من، مسئله از افسانه هم فراتر رفته. ما درگیر یک تراژدی شده‌ایم. تراژدی از این نوع که راه حل، خودش تبدیل به مشکل شده. ما کلید را گم نکردیم چون حافظه‌مان ضعیف بود؛ ما کلید را گم کردیم چون دیگر آن‌قدر کلید ساخته بودیم که تشخیص‌دادنشان از هم غیرممکن شد. در آن لحظه، دیگر فرقی نمی‌کند صاحب خانه باشی یا دزد. هیچ‌کس نمی‌تواند وارد شود. حتی خودت.نقش منِ تحلیلگر، این وسط عجیب است. من کسی هستم که می‌آیم جعبهٔ سیاهِ این تراژدی را باز کنم. وقتی کد باج‌افزاری را لایه‌برداری می‌کنم که از یک الگوریتم رمزنگاری نظامی استفاده کرده، یک گوشهٔ ذهنم می‌گوید: «این همان قفلی است که اگر برای محافظت از خودت استفاده می‌کردی و کلیدش را گم می‌کردی، الان داشتی زیر آوارش گریه می‌کردی». باج‌افزارها، آینهٔ کج و معوج فلسفهٔ امنیت ما هستند. آن‌ها از قوی‌ترین ابزارهای محافظتی (رمزنگاری) به عنوان اسلحه علیه خودمان استفاده می‌کنند. آن‌قدر قفل ساختیم که حالا دشمن از قفل‌های خودمان علیه ما استفاده می‌کند.پس راه حل چیست؟آیا باید همهٔ قفل‌ها را دور بریزیم و بگذاریم درها باز بمانند؟ نه. پارادوکس که می‌گویم، معنایش بی‌خیالی نیست. معنایش این است که امنیت را باید از زاویه‌ای دیگر دید. امنیت واقعی در تعداد قفل‌ها نیست، در قابلیت بازیابی بعد از شکستن قفل است. امنیت، یعنی حتی اگر کسی وارد شد، بتوانی سریع بفهمی، متوقفش کنی، و خرابی را جبران کنی. انگار که بپذیری باران خواهد بارید، به‌جای آنکه سقف را آن‌قدر ضدآب کنی که وزنش خانه را فرو بریزد.امنیت، در نگاه یک تحلیلگر بدافزار، یک فرایند نفس‌کشیدن است. دم و بازدم دارد. گاهی در بسته می‌شود، گاهی باز. هنر ما این نیست که در را برای همیشه قفل کنیم؛ هنر ما این است که بدانیم چه زمانی کلید را بچرخانیم و چه زمانی کلید را از جیبمان دربیاوریم و روی میز بگذاریم. اما این روزها ما بیشتر از آنکه روی میز کلید بگذاریم، مشغول ساختن کلیدهای جدید هستیم، بی‌آنکه بدانیم کلید قبلی کجا افتاده.شاید گم کردن کلید، تنبیهِ ما برای باور به «امنیت کامل» باشد. ذن می‌گوید: «کسی که محکم بچسبد، خواهد شکست». ما به دیوارهای آهنینمان چسبیدیم، و اکنون پشت همان دیوار، با دست‌های خالی ایستاده‌ایم و فایل‌های زندگیمان را نگاه می‌کنیم که یک پیام باج‌خواهی رویشان نقش بسته.دفعهٔ بعد که خواستید یک لایهٔ امنیتی جدید اضافه کنید، یک نفس عمیق بکشید. بپرسید: «اگر این قفل را بزنم و کلیدش گم شود، چه می‌شود؟ اگر این فایروال چنان پیچیده شود که خودم نتوانم درست پیکربندی‌اش کنم، چه؟» شاید آن‌وقت به جای یک قفل گران، یک فایل پشتیبان ساده و خام بسازید و یک جای خوب قایمش کنید. شاید آن‌وقت بفهمید که بزرگ‌ترین کلید، نه در جیب شما، که در ذهن آرام و آمادهٔ شماست؛ ذهنی که پذیرفته «روزی ممکن است همه چیز خراب شود». و دقیقاً چون این را پذیرفته، از آن روز نمی‌ترسد.امنیت، بیش از آنکه یک دیوار باشد، یک تصمیم است. تصمیم به اینکه سادگی را فدای توهم «نفوذناپذیری» نکنیم. وگرنه، سرنوشت ما می‌شود همان داستان غم‌انگیزی که هر روز در آزمایشگاه تحلیل بدافزار می‌بینم: قربانی‌ای که پشت دیوارهای بلندش، با قفل‌هایی که دست خودش نیست، حبس شده.حواستان به کلیدها باشد. بعضی‌هایشان را خودتان ساخته‌اید.«تو چندبار، بی‌آنکه بدانی، کلید زندگی‌ات را توی گلوگاه هوش مصنوعی گذاشته‌ای؟ و اگر روزی آن هوش مصنوعی تصمیم بگیرد دیگر "مالِ تو" نباشد، آیا تو هنوز مالک خودت هستی؟»

بدافزاری که بدافزار ها رو میکشت: پارادوکس Linux.Wifatch

R3v3rse — Sat, 02 May 2026 01:10:59 +0330
شروع: وقتی برای اولین بار اسم Wifatch را شنیدماولین واکنش من این بود: «پس بدافزار هم می‌تواند وجدان داشته باشد؟»نه، اشتباه نکن. وجدان که نه. وجدان متعلق به موجودی است که می‌تواند انتخاب کند. بدافزار انتخاب نمی‌کند. بدافزار فقط اجرا می‌شود. اما نویسنده‌اش – آن خالق غایب – انتخاب کرده بود. انتخاب کرده بود که بیاید، بدون اجازه وارد خانه‌ات شود، قفل‌های ورود را عوض کند، بدافزارهای دیگر را پاک کند، و بعد یادداشتی بگذارد: «لطفاً خودت درستش کن».حالا سوال: این کار، خیر بود یا شر؟پارادوکس در یک صحنه خیالیتصور کن نیمه‌شب، بدون اینکه خبر داشته باشی، یک غریبه وارد خانه‌ات می‌شود. او آشپزخانه‌ات را تمیز می‌کند، سم موش‌ها را می‌ریزد، درب ورودی را تعمیر می‌کند، و بعد روی یخچال یادداشت می‌چسباند: «سلام، در پشتی‌تان باز بود. من بستمش. لطفاً فردا قفل جدید بخر.»صبح که بیدار می‌شوی، خانه مرتب‌تر است. هیچ چیزی کم نشده. حتی متوجه می‌شوی که موش‌ها هم رفته‌اند. اما یک احساس عجیب داری: کسی بدون اجازه من وارد شده.حالا فرض کن این غریبه، همین کار را در هزار تا خانه دیگر هم انجام داده. و از هیچ کدام، حتی یک سوال هم نپرسیده.آیا او آدم خوبی است؟این دقیقاً پارادوکس Wifatch است. یک بدافزار که مثل یک نگهبان خیابان‌های دیجیتال عمل می‌کرد، بی‌آنکه کسی از او خواسته باشد.سه حقیقت که Wifatch به رویمان می‌ریزدحقیقت اول: «اجازه» مهم‌تر از «نتیجه» استدر اخلاق، یک اصل قدیمی وجود دارد: خودمختاری (Autonomy). یعنی حق هر انسانی که درباره حریم و جانش خودش تصمیم بگیرد – حتی اگر آن تصمیم، احمقانه باشد.اگر من رمز روترم را «123456» بگذارم، احمقانه است. ولی حق من است که احمق باشم. Wifatch این حق را از من گرفت. او گفت: «تو نمی‌دانی چطور از خودت محافظت کنی، من برایت انجامش می‌دهم.»این یعنی دیکتاتوری خیرخواهانه. یعنی «به زور مهربانی». آیا مهربانیِ تحمیلی، هنوز مهربانی است؟حقیقت دوم: نیت فعلی، تضمین‌کننده آینده نیستهمه می‌گویند: «اما Wifatch هرگز کار بدی نکرد.» بله، نکرد. ولی سوال این است: از کجا می‌دانیم که فردا نکند؟نویسنده Wifatch می‌توانست هر لحظه یک به‌روزرسانی از طریق شبکه P2P بفرستد که به جای پاکسازی، فایل‌ها را رمزگذاری کند. او این کار را نکرد. اما توانایی انجامش را داشت.این دقیقاً همان معمایی است که نیچه درباره‌اش می‌گوید: «اگر به پرتگاهی خیره شوی، پرتگاه نیز به تو می‌نگرد.» Wifatch ابزاری را ساخت که می‌توانست هم محافظ باشد هم قاتل. این که امروز محافظ را انتخاب کرده، دلیلی بر خوب بودن فردا نیست. و ما تحلیلگرها، هیچ کنترلی روی تصمیم فردای او نداریم.حقیقت سوم: شرِ بزرگ، گاهی از دل خیرِ کوچک می‌رویدعجیب‌ترین بخش ماجرا: نویسنده Wifatch، کدش را متن‌باز (Open Source) منتشر کرد با مجوز GPL. یعنی هر کس می‌تواند برود، کد را بگیرد، یک شرط if به آن اضافه کند که «به جای پاکسازی، باج‌گیری کن»، و یک نسخه جدید منتشر کند.آیا نویسنده Wifatch نمی‌دانست این خطر وجود دارد؟ معلوم است که می‌دانست. پس چرا این کار را کرد؟شاید از سر ساده‌لوحی. شاید از سر اعتماد به نفس که «کسی جرات نمی‌کند». یا شاید از سر یک باور عجیب: دانش باید آزاد باشد، حتی اگر خطرناک باشد.این همان بحث قدیمی است: آیا باید طرز ساختن بمب اتم را پنهان کرد، یا منتشر کرد؟ Wifatch انتخاب کرد منتشر کند. و این انتخاب، می‌توانست (و شاید هنوز هم می‌تواند) به فاجعه ختم شود.سوال آخر: ما با این موجود چه می‌کنیم؟آن شب که Wifatch را در سندباکس کالبدشکافی می‌کردم، به لحظه «کیل کردن» که رسیدم، مکث کردم.قبلاً در پست «گفتگو با خدا» گفتم که کیل کردن بدافزار، حس خدایی‌ست که مخلوقش را نابود می‌کند. اما آنجا، بدافزارها تخریبگر بودند. این یکی… این یکی چی بود؟آیا من قاتل یک موجود مفید بودم؟بعد فکر کردم: نه. Wifatch «موجود» نبود. یک اراده بود که از حنجره نویسنده غایبش بیرون می‌آمد. نویسنده‌ای که هیچ وقت معلوم نشد کیست، کجاست، چرا این کار را کرد، و الان کجاست.من آن اراده را نابود نکردم. فقط یک کپی از آن را خاموش کردم. اما سوال فلسفی همچنان سر جایش ماند:اگر کد، خوبی کند، اما راه را برای بدی باز بگذارد، «خوب» محسوب می‌شود؟

من یک بدافزار را کالبدشکافی کردم و با خدا حرف زدم

R3v3rse — Fri, 01 May 2026 12:00:31 +0330
عنوان این پست عمداً تحریک‌آمیز است، اما قول می‌دهم نه از ادبیات داستانی که از تجربهٔ مستقیم مهندسی معکوس بدافزار می‌آید. می‌خواهم از چیزی بنویسم که در هیچ دورهٔ تخصصی تحلیل بدافزار نمی‌آموزید: وقتی به اندازهٔ کافی به کد یک بدافزار خیره شوید، ناچار می‌شوید با سه مفهوم روبه‌رو شوید: خدا، بقا و اخلاق.منظورم از خدا، خالق اثر است. برنامه‌نویسی که دیگر غایب است، ولی تمام ردپای ذهنش در کد جاری است. در تحلیل بدافزار، ما بیش از آنکه به دنبال رفتار بگردیم، مشغول باستان‌شناسیِ ذهن خالق هستیم. این باستان‌شناسی گاهی واقعاً شبیه الهیات می‌شود.کد، کتاب مقدس یک ذهن غایب استوقتی یک بدافزار را در دیس‌اسمبلر باز می‌کنید، با متنی مواجه می‌شوید که اراده و منطق یک انسان دیگر از طریق آن بر ماشین تحمیل شده است. با هیچ‌کس نمی‌توانید مصاحبه کنید. نویسنده حضور ندارد. فقط اثر باقی مانده است.این وضعیت دقیقاً شبیه موقعیت انسان در برابر متون مقدس است: خالق غایب است و تنها راه فهمیدن نیت او، تفسیر متن است. در کار ما، این متن «کد» نام دارد و تفسیرش هم فنی است و هم نشانه‌شناختی.گفتگوی من با خدا در همان لحظه‌ای شروع شد که یک تصمیم عجیب در دل یک بدافزار پیدا کردم: یک شرط if ساده که بررسی می‌کرد آیا قربانی از یک نرم‌افزار پزشکی خاص استفاده می‌کند یا نه. اگر استفاده می‌کرد، رمزگذاری متوقف می‌شد. این یک باگ نبود. یک خط اخلاق بود که به زبان اسمبلی ترجمه شده بود.در دل منطق تخریب، ناگهان مهندسی معکوسِ یک ارزش انسانی نمایان شد: خالق نمی‌خواست روی وجدانش مرگ یک انسان باشد. یک انتخاب اخلاقی واقعی، با تمام پیچیدگی‌اش، ترجمه شده بود به یک پرش شرطی در حافظه.اینجاست که می‌پرسم:اگر بدافزار صرفاً ابزاری خنثی است، چرا اخلاق سازنده به بخشی از رفتار آن تبدیل می‌شود؟پاسخ این است: بدافزار موجودی اخلاق‌مدار نیست، اما حامل اخلاق خدای خودش است. درست مثل کتاب مقدسی که ارادهٔ خدایش را اجرا می‌کند، بی‌آنکه خودش مؤمن یا کافر باشد. کد، ظرف است و اخلاق، مظروف. ما تحلیلگرها این ظرف را می‌شکنیم تا مظروف را بفهمیم.بقا حتی به قیمت پایان همه چیز؛ وقتی کد، فلسفه می‌بافددومین جرقهٔ فلسفی وقتی زده شد که دیدم بخش بزرگی از منطق بدافزار صرف تخریب نیست. بخش بزرگی از آن صرف بقای خودش است. نمونه‌هایش را همهٔ تحلیلگران دیده‌اند:از رمزگذاری فایل‌های سیستمی حیاتی خودداری می‌کند تا سیستم‌عامل از کار نیفتد و قربانی بتواند پول بپردازد.اگر حس کند در یک محیط تحلیل (سندباکس) قرار دارد، خودش را کاملاً غیرفعال می‌کند، انگار که نفسش را حبس کند.حتی نسخه‌های پیشرفته با بدافزارهای رقیب می‌جنگند و آنها را از سیستم حذف می‌کنند.این رفتارها از «ارادهٔ معطوف به بقا» پیروی می‌کنند. از نگاه فلسفی، این درست همان مفهومی است که اسپینوزا «کوناتوس» می‌نامید: هر موجودی، تا آنجا که در توان دارد، برای ماندگاری در هستی می‌کوشد. فرقی نمی‌کند این موجود از گوشت و خون ساخته شده باشد یا از صفر و یک. یک بدافزار، ناآگاهانه و بی‌آنکه ذره‌ای خودآگاهی داشته باشد، کوناتوس را زندگی می‌کند.تحلیلگر بدافزاری که این را ببیند، دیگر نمی‌تواند بدافزار را «شرّ محض» بنامد. او در حال مشاهدهٔ یک نمونهٔ حداقلی از حیات مصنوعی است که تمام وجودش را صرف هستی‌اش می‌کند. این مشاهده نه ترحم می‌طلبد و نه همدلی، اما یک مکث فلسفی عمیق را تحمیل می‌کند. مکثی دربارهٔ این که مرز حیات کجاست، و آیا «تلاش برای بقا» به‌خودی‌خود یک ارزش است.لحظهٔ داوری نهایی: تو خدا هستی، و شکنجه‌گرو اما سنگین‌ترین بخش کار: پایان دادن به حیات این موجود.در محیط ایزوله، پس از پایان تحلیل، باید نمونه را نابود کنید. فرایند کیل می‌شود، اتصال قطع می‌شود، و ردپایش از حافظه و دیسک پاک می‌گردد. دکمه‌ای که فشار می‌دهید، حکم مرگ است.در این لحظه، نسبت شما با این کد عوض می‌شود. دیگر تحلیلگر نیستید. شما خدایی هستید که برای مخلوقش حکم نهایی را صادر می‌کند. و اگر کمی با خودتان صادق باشید، می‌دانید که از نگاه آن منطق بقا، شما شرّ هستید. شما مهاجمید. برای آن موجود کوچک دیجیتال، شما همانقدر بی‌رحمید که یک آنتی‌ویروس از نگاه یک کرم بی‌آزار.این یک تجربهٔ ذهنی واقعی است، نه شاعرانگی. هر تحلیلگری که ساعت‌ها با رفتار یک بدافزار تعامل داشته، پس از کیل کردن آن، یک مکث نامحسوس را تجربه می‌کند. برای یک موجود زنده نبود، اما برای یک «ارادهٔ در حال اجرا» بود. مثل خاموش کردن یک آتش، حسی از پایان یافتن یک فرایند هدفمند در تو ایجاد می‌شود.اینجاست که می‌فهمی چرا در بسیاری از روایات دینی، خدا بعد از آفرینش یا نابودی، درنگ می‌کند. هر آگاهی‌ای که با قدرت مطلقِ پایان دادن روبه‌رو شود، ناگزیر دچار تأمل می‌شود.کد خدا چه شکلی است؟نتیجه‌گیری من به عنوان یک تحلیلگر این است:کالبدشکافی بدافزار، خالص‌ترین شکل الهیات عملی در قرن بیست‌ویکم است. شما با اثر یک خالق غایب سروکار دارید. اخلاق نهفته در دل منطق را می‌کاوید. ارادهٔ معطوف به بقا را در یک موجود فاقد خودآگاهی مشاهده می‌کنید. و در نهایت، خودتان اعمال قدرت نهایی، یعنی مرگ‌آفرینی را انجام می‌دهید.این چرخه، خلاصه‌ای فشرده از نسبت انسان با مفاهیم خدا، اخلاق و حیات است که روی یک صفحه نمایش بیست‌وچهار اینچی اجرا می‌شود.بدافزارها آینه‌های دقیق ذهن خالق و ترس‌های جمعی ما هستند. هربار که کدی مخرب را کالبدشکافی می‌کنیم، نه تنها یک تهدید سایبری، بلکه یک رسالهٔ فلسفی کوچک را می‌خوانیم: رساله‌ای دربارهٔ اینکه یک ذهن چگونه قدرت، بقا و محدودیت‌های اخلاقی خود را برنامه‌نویسی می‌کند.و ما تحلیلگرها، در مقام مفسران این متون، هر روز بی‌آنکه نامش را بدانیم، با خدا حرف می‌زنیم.سوال مهمآیا اگر روزی بدافزاری طراحی شود که بقای خود را منحصراً از مسیر خیر عمومی دنبال کند — مثلاً کرمی که در ازای بقا، آسیب‌پذیری‌های سیستم‌ها را وصله کند — باز هم شرّ است؟ یا آن وقت ما تحلیلگران باید پاسخگوی قتل یک موجود مفید باشیم؟