Professional Windows Memory Analysis

ابوالفضل کاظمی

پیشرفته
مسیر آبی

۶ درس

ثبت نام سازمانی این دوره

تاریخ شروع

۲ دی ۱۴۰۱

طول دوره

۴۲ساعت

گواهی‌نامه و آزمون

دارد

ظرفیت

۰ نفر باقی مانده

نوع برگزاری

آنلاین

درباره‌ی این دوره

حافظه‌ی کامپیوتر اطلاعات زیادی از وضعیت اجرای پروسه‌ها، اطلاعات و داده ساختارهای استفاده شده توسط آن‌ها، خطاهای پیش آمده و همچنین وضعیت و داده‌های سیستم‌عامل را در بر دارد. دسترسی به حافظه نه تنها از جنبه‌ی برنامه‌نویسی و بررسی مشکلات نرم‌افزارها و رفع آن‌ها اهمیت دارد، بلکه از دید یک متخصص امنیت نیز ارزش زیادی داشته و می‌توان از آن برای پیدا کردن موارد مشکوک، تشخیص حمله و کشف و تحلیل بدافزار استفاده کرد. تحلیل حافظه همچنین یکی از ارکان مهم در شاخه‌ی Digital Forensic به حساب می‌آید. در واقع هنگام پاسخ به یک رخداد سایبری، با ثبت حافظه‌ی یک دستگاه در معرض خطر می‌توانید به سرعت تجزیه و تحلیل‌هایی را برای شناسایی بدافزارهای بالقوه و جمع آوری IOCها انجام دهید و سپس از آن‌ها برای شناسایی دیگر دستگاه‌های در معرض خطر استفاده کنید. این دوره با هدف بررسی حافظه‌ی سیستم‌عامل ویندوز و پروسه‌های آن، به صورت Live و به کمکDump، به صورتی طراحی شده است که موارد زیر را پوشش داده و می‌تواند برای برنامه‌نویسان و متخصصین امنیت بسیار کاربردی باشد:

آشنایی با ساختارهای Internal ویندوز و طرز کار آن‌ها
بررسی موارد مشکوک در ویندوز و استفاده از آن برا ی Malware Hunting
دلیل بروز استثنا در برنامه‌ها و پیدا کردن Bug
بررسی دلیل Hang و Crash در پروسه‌ها و سیستم‌عامل

مدت زمان این دوره ۴۲ ساعت است که طی ۱۴ جلسه‌ی ۳ ساعته، شنبه‌ و چهارشنبه‌ی هر هفته از ساعت ۱۷:۳۰ الی ۲۰:۳۰، به صورت آنلاین برگزار خواهد شد. شروع این دوره از روز شنبه ۳ دی ماه خواهد بود.

این دوره به چه افرادی توصیه می‌شود؟

متخصصین برنامه‌نویسی
تحلیل‌گران امنیت سایبری و کارشناسان مراکز SOC
کارشناسان Digital Forensic
مشاورین امنیت سایبری
کارشناسان شکار تهدیدات سایبری

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

آشنایی با مفاهیم و ساختار سیستم‌عامل ویندوز
آشنایی ابتدایی با زبان برنامه‌نویسی C یا ++C
آشنایی با مفاهیم امنیت سایبری

سرفصل‌های دوره

Windows Internals 101
- User mode & Kernel mode
- Process Internals
- Thread Internals
- Virtual Memory
- Registry Structure
- Objects & Handles
- PE File Structure
- DLLs and Dynamic Linking
- Structured Exception Handling
- PEB, EPROCESS
- TEB, ETHREAD
- I/O Request Packets and Getting Data from Kernel
WinDbg 101
- Assembly Review (x86, x64)
- Stack/Heap Structures
- Calling Conventions (x86, x64)
- Callstacks (Chain of Functions)
- Symbol Files
- WinDbg Commands (Native, Debugger, Extensions)
- Linked-Lists Tracing
- Time Travel Debugging
- Kernel Mode Debugging
Volatility 101
- Installation/Commands/Plugins
- Gather Process Information
- Check Network Connections
- Registry Inspection
- DLLs and Handles
Process Memory Dump Analysis using WinDbg
- What are the analysis Patterns?
  - Access Violation (Invalid Memory Access)
  - Pointers Problems (Invalid/Null/Corrupted Pointers)
  - Memory Consumption/Corruption
  - Threads Investigation (Blocked/Missing/Active/Passive Threads)
  - Hooked Functions
  - Stack Overflow
  - Exception Tracing
  - Missing Components
  - Waits on Critical Sections
  - Invalid Handle
Kernel & Complete Dump Analysis
- Dealing with OS Problems (BSOD, Hangs, Memory Corruptions)
- Understanding Common Windows Services and Processes
- Identify Rogue Processes
- Analyze Process DLLs and Handles
- Review Network Artifacts
- Look for Evidence of Code Injection
- Acquire Suspicious Processes and Drivers
- IRP Waiting
- Zombie Processes
- Kernel Bugcheck Analysis
- Deadlock Detection
- Handle Leakage
- Pool Corruption
- Insufficient Memory
- Network Protocols Inspection
- Registry Inspection
Hunting Malware in The Memory