في الصورة المقدمة، يتم استعراض كود برمجي متعلق بـ “Return Oriented Programming” (ROP)، وهي تقنية استغلال تُستخدم في الهجمات السيبرانية. يُركز الكود على تلاعب بتنفيذ تعليمات برمجية لتحقيق أهداف معينة، مثل تنفيذ أوامر ضارة.
التحليل يبدأ مع التعليمات الموجودة تحت main+8, حيث يتم وضع قيمة معينة في السجل eax باستخدام التعليمة mov eax, 0x1234567, ثم يتم إرجاع التحكم إلى الأعلى في الدستور (الـ stack) باستخدام ret.
بعد ذلك، يتم استعادة قيمة معينة إلى السجل edx باستخدام التعليمة pop edx. تأتي هذه التعليمة بعد تعيين قيمة معينة للسجل edx عن طريق السطر push edx.
ثم يتم استعراض التعليمات الموجودة في المكان الذي تم إرجاع التحكم إليه، والتي تبدأ مع @ .data.
@ .data هي علامة لموقع في الذاكرة حيث يتم تخزين البيانات. في هذه الحالة، يبدو أنها تستخدم لتخزين القيمة التي تم وضعها في السجل edx سابقًا.
بالنسبة للسطر mov dword ptr [edx], eax، فإنه يقوم بنسخ قيمة السجل eax إلى العنوان المحفوظ في السجل edx. هذا يعني أن القيمة الموجودة في السجل eax، وهي 0x1234567، ستتم نقلها إلى العنوان المخزن في edx.
ثم بعد ذلك، يبدو أنه يتم إرجاع التحكم إلى موقع آخر في البرنامج، مما يعني أن العملية التي تمت تمثيلها في الصورة ربما تكون جزءًا من سلسلة أوامر معقدة تهدف إلى استغلال ثغرات في البرنامج المستهدف.
المزيد من المعلومات
بما أن هذه الصورة تُظهر جزءًا صغيرًا من تقنية Return Oriented Programming (ROP)، فإنه من المهم فهم السياق العام لهذه التقنية وكيفية استخدامها في الهجمات السيبرانية.
ROP هي تقنية استغلال تستخدم في الهجمات السيبرانية لتجاوز إجراءات الحماية المتقدمة مثل تنفيذ الشفرات غير المسموح بها. تعتمد ROP على استغلال الشفرات الموجودة بالفعل في ذاكرة البرنامج وترتيبها بطريقة معينة لتنفيذ سلسلة من الأوامر التي تخدم أهداف الهجوم.
الفكرة الأساسية لـ ROP هي استخدام “gadgets” أو الحيل. هذه الحيل عبارة عن مقاطع صغيرة من الشفرة تنتهي بتعليمة ret تُستخدم لتوجيه تنفيذ البرنامج إلى موقع معين في الذاكرة. يتم استخدام الحيل الموجودة بالفعل في البرنامج وترتيبها بشكل معقد لتحقيق أهداف الهجوم.
في الصورة المقدمة، يُظهر الكود استعراض تنفيذ تحكم المتتالية بطريقة معقدة. يتم تنفيذ تعليمة mov eax, 0x1234567 لتعيين قيمة محددة في السجل eax، ثم يتم استرجاع قيمة أخرى من الدستور إلى السجل edx باستخدام pop edx. بعد ذلك، يتم نقل قيمة السجل eax إلى العنوان المخزن في السجل edx باستخدام mov dword ptr [edx], eax.
هذه العملية قد تبدو غامضة في البداية، لكنها تشير على الأرجح إلى جزء من سلسلة أوامر ROP تهدف إلى إدخال قيمة معينة في مكان معين في الذاكرة، وهو غالبًا ما يكون جزءًا من هجمة تستهدف تجاوز إجراءات الحماية.
يجب أن يكون فهم ROP وكيفية تحليل الكود المتعلق بها من الأمور الأساسية لأي مهندس أمان أو مطور يسعى لحماية البرمجيات أو فهم كيفية تنفيذ الهجمات السيبرانية.
