اساليب تخطي برامج الحمايه باستخدام 
Syscallsال

By  
Abdulaziz Almetairy  

Twitter : @AzizWho 

مقدمه

السلام عليكم ورحمة الله وبركاته والصلاة والسلام على نبينا محمد وﻋﻠﻰ آﻟﻪ وصحبه اجمعين..



في مقالتي السابقه تكلمت عن اساليب تخطي برامج الحمايه , انصح الجميع بقرائتها قبل قرائة المقاله هذي لأنها تعتبر الجزء الثاني المكمل لها.. 

تجدون المقاله الاولى هنا.

اليوم بتكلم عن أساليب و اساسيات تخطي برامج الحمايه باستخدام الSyscalls

الهدف من المقاله هو شرح مفهوم و طرق استخدام الSyscalls وبعض التكنيكات الاخرى وفهم الWindows Internals.


المواضيع اللي بتكلم عنها:

  1. Windows Protection Ring

  2. Understanding Syscalls

  3. SysWhispers

  4. Process Environment Block (PEB)

  5. HellsGate

  6. HalosGate

  7. Direct vs Indirect Syscalls

تتطلب المقاله فهم في لغات البرمجه
C++\C
x86 Assembly

راح اشرح المواضيع بالتفاصيل واتمنى تفيدكم :)

Windows Protection Ring

ماهو ال Windows Protection Ring؟

هو ميزة أمنيه في نظام الويندوز توفر عزل الصلاحيات عن بعض , مثل البرامج المستخدمه من الUser Mode عن الKernel Mode.

خلونا نشرحها بالتفصيل:

عندنا بالصوره فوق اربعة Rings :

  • Ring 3: 

Join