درباره‌ی دوره

در سال‌های اخیر شرکت‌های امنیتی بخش ویژه‌ای از تمرکز و تحقیقات خود را به افزایش قابلیت‌های زیرساخت سازمان‌ها در شناسایی تحرکات مهاجمین، اختصاص داده‌اند. در همین راستا محصولات و راهکارهای پیشرفته‌ی متعددی طی این سال‌ها به بازار عرضه شده است. در بین این محصولات، بسیاری از سازمان‌ها به آنتی‌ویروس‌ها و EDRها اعتماد ویژه‌ای در شناسایی تهدیدات سایبری دارند. اما فارغ از کیفیت این محصولات یا برند آن‌ها، حقیقت این است که هیچ محصول امنیتی در دنیا توانایی شناسایی تمام تهدیدات سایبری را ندارد.

با توجه به موارد ذکر شده مهاجمین نیز برای پیش‌برد اهداف خود، هم‌راستا با شرکت‌های امنیتی در حال تحقیق و توسعه بوده و هر روز روش‌های جدیدی برای پنهان کردن فعالیت‌های خود یا دور زدن راهکارهای شناسایی پیشرفته‌ی ارایه شده توسط این شرکت‌ها، ابداع می‌کنند. به همین دلیل متخصصین تیم قرمز هم برای شبیه‌سازی رفتار تیم‌های APT به منظور ارزیابی میزان آمادگی دفاعی یک سازمان در برابر حملات پیشرفته، باید توانایی دور زدن راهکارهای شناسایی موجود در آن سازمان را داشته باشند.

در این دوره شما ضمن آشنایی با شیوه‌ی عملکرد و معماری آنتی‌ویروس‌ها و EDRها، روش‌های دور زدن (Bypass) این محصولات را خواهید آموخت. به طور دقیق‌تر شما با گذراندن این دوره با مبانی Windows Internals، معماری آنتی‌ویروس و EDR و شیوه‌ی عملکرد آن‌ها، دور زدن این محصولات در سطح کاربر و همچنین در سطح هسته‌ی سیستم‌عامل و در نهایت روش‌های دور زدن راهکار AMSI در سیستم‌عامل ویندوز را خواهید آموخت.

مدت زمان دوره

مدت زمان این کارگاه آنلاین ۱۶ ساعت است و طی ۳ جلسه، به صورت دو کلاس‌ ۵ ساعته و یک کلاس ۶ ساعته، برگزار می‌شود. روزهای برگزاری این کارگاه آنلاین، ۶، ۷ و ۸ فروردین ۱۴۰۱ است و همچنین ساعت شروع کلاس‌ها، ۱۰ صبح خواهد بود.

تخفیف ثبت‌نام زودهنگام

۲۰ درصد تخفیف برای ثبت‌نام تا ۱۲ اسفند و ۱۰ درصد تخفیف برای ثبت‌نام تا ۲۲ اسفند برای حضور در این دوره، در نظر گرفته شده است.

گواهینامه‌ی دوره

برای دریافت گواهینامه‌ی این دوره، ده روز پس از جلسه‌ی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامه‌ی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامه‌ی دوره برای شرکت‌کنندگان اختیاری است.

هزینه‌ی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینه‌ی چاپ و صدور گواهینامه‌ی دوره: ۵۰ هزارتومان

این دوره به چه افرادی توصیه می‌شود؟

• کارشناسان تست نفوذ/تیم قرمز
• تحلیل‌گران و مهندسین SOC
• کارشناسان فعال در زمینه Forensic Investigation
• کارشناسان پاسخ‌گویی به تهدیدات سایبری (CSIRT) و شکار تهدیدات سایبری
• مشاورین امنیت سایبری

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

• آشنایی با ساختار سیستم‌عامل ویندوز
• آشنایی با مفاهیم امنیت سایبری
• آشنایی اولیه با زبان‌های C و ++C و PowerShell
• حداقل دو سال تجربه‌ی کاری در زمینه‌ی تست نفوذ یا تیم قرمز

سرفصل‌های دوره

Chapter 1: Something About Windows Internals

1.1 Object and Handle

1.2 Process

1.3 Threads

1.4 System Architecture

1.5 User/Kernel Transition

Chapter 2: Antivirus and EDR Architecture

2.1 EDR overview

2.2 Writing EDR From Scratch

?Chapter 3: How EDR/AV works

3.1 Kernel Callback

3.2 Hooking

3.3 Service

3.4 File System Mini Filter

Chapter 4: Discover Installed EDR

4.1 Registry

4.2 Service

4.3 Driver

4.4 WMIC

4.5 Mini Filter

Chapter 5: Bypass EDR/AV From User Mode

5.1 Bypass Static Engine

5.2 Bypass Behavior Protection

5.3 Bypass Hooking

5.4 Bypass Credential Dumping Protection

5.5 Bypass Cloud Submitting

Chapter 6: Bypass EDR/AV From Kernel Mode

6.1 Working with WINDBG

6.2 Finding EDR in Kernel Land

6.3 Blinding Callback

6.4 Bypass File System Mini Filter

Chapter 7: Bypass AMSI

7.1 Understanding AMSI

7.2 Analysis AMSI

7.3 Bypassing AMSI With Reflection in PowerShell

7.4 Patching AMSI