🧪 المختبر 1: إخفاء وتشغيل الملفات التنفيذية باستخدام Alternate Data Streams (ADS) على Windows

🎯 الهدف الأساسي: إخفاء ملف تنفيذي داخل مجرى بيانات بديل (ADS) لملف نصي شرعي وتشغيله لتجنب الاكتشاف من قبل الأنظمة الأساسية لمكافحة الفيروسات أو البشر.

📜 خطوات التنفيذ:

📊 منهجية اختبار الاختراق: التهرب والإخفاء (Evasion & Concealment)

✨ إنشاء ملف نصي شرعي:
- قم بإنشاء ملف نصي عادي بحجم 0 بايت .
- الأمر:
  type nul > Windows_log.txt
- الشرح: إذا نفذت هذا الأمر سيتم إنشاء ملف Windows_log.txt بحجم صفر بايت.
✨ إخفاء الملف التنفيذي في ADS:
- استخدم الأمر type لإعادة توجيه محتوى الملف التنفيذي إلى مسار بيانات (ADS) داخل الملف النصي العادي .
- الأمر:
  type payload.exe > Windows_log.txt:winpas.exe
- الشرح: إذا نفذت هذا الأمر، سيتم إخفاء الـ payload.exe داخل Windows_log.txt تحت اسم winpas.exe وما بيتغير حجم Windows_log.txt المرئي .
✨ إضافة بيانات شرعية للملف النصي:
- افتح الملف النصي Windows_log.txt وادخل بيانات عادية عشان يبين ان الملف عادي ويحتوي على سجلات حقيقية .
- الأمر:
  notepad Windows_log.txt
- الشرح: إذا فتحت notepad تقدر تحط بيانات مثل "log log one" أو "this is a test file" ثم حفظ الملف وإغلاقه .
✨ حذف الملف التنفيذي الأصلي:
- بعد إخفاء الملف التنفيذي بنجاح احذف الملف الأصلي .
- الأمر:
  del payload.exe
- الشرح: إذا نفذت هذا الأمر، سيتم حذف payload.exe من الدليل، ولكن محتوياته بتكون مخفية داخل Windows_log.txt.
✨ تشغيل الملف المخفي:
- يمكن تشغيل الملف التنفيذي المخفي باستخدام أمر start .
- الأمر:
  start Windows_log.txt:winpas.exe
- الشرح: إذا نفذت هذا الأمر بيشتغل الملف المخفي winpas.exe .

Previous👾1- System-Host-Based-Attacks LAB Next🧪 المختبر 2: استغلال ProFTPD لاستخراج تجزئات كلمات مرور Linux

Last updated 4 months ago