Professional Windows Memory Analysis
Professional Windows Memory Analysis
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- پیشرفته
- مسیر آبی
- ۶ درس
دربارهی این دوره
حافظهی کامپیوتر اطلاعات زیادی از وضعیت اجرای پروسهها، اطلاعات و داده ساختارهای استفاده شده توسط آنها، خطاهای پیش آمده و همچنین وضعیت و دادههای سیستمعامل را در بر دارد. دسترسی به حافظه نه تنها از جنبهی برنامهنویسی و بررسی مشکلات نرمافزارها و رفع آنها اهمیت دارد، بلکه از دید یک متخصص امنیت نیز ارزش زیادی داشته و میتوان از آن برای پیدا کردن موارد مشکوک، تشخیص حمله و کشف و تحلیل بدافزار استفاده کرد. تحلیل حافظه همچنین یکی از ارکان مهم در شاخهی Digital Forensic به حساب میآید. در واقع هنگام پاسخ به یک رخداد سایبری، با ثبت حافظهی یک دستگاه در معرض خطر میتوانید به سرعت تجزیه و تحلیلهایی را برای شناسایی بدافزارهای بالقوه و جمع آوری IOCها انجام دهید و سپس از آنها برای شناسایی دیگر دستگاههای در معرض خطر استفاده کنید. این دوره با هدف بررسی حافظهی سیستمعامل ویندوز و پروسههای آن، به صورت Live و به کمکDump، به صورتی طراحی شده است که موارد زیر را پوشش داده و میتواند برای برنامهنویسان و متخصصین امنیت بسیار کاربردی باشد:
- آشنایی با ساختارهای Internal ویندوز و طرز کار آنها
- بررسی موارد مشکوک در ویندوز و استفاده از آن برا ی Malware Hunting
- دلیل بروز استثنا در برنامهها و پیدا کردن Bug
- بررسی دلیل Hang و Crash در پروسهها و سیستمعامل
مدت زمان این دوره ۴۲ ساعت است که طی ۱۴ جلسهی ۳ ساعته، شنبه و چهارشنبهی هر هفته از ساعت ۱۷:۳۰ الی ۲۰:۳۰، به صورت آنلاین برگزار خواهد شد. شروع این دوره از روز شنبه ۳ دی ماه خواهد بود.
این دوره به چه افرادی توصیه میشود؟
- متخصصین برنامهنویسی
- تحلیلگران امنیت سایبری و کارشناسان مراکز SOC
- کارشناسان Digital Forensic
- مشاورین امنیت سایبری
- کارشناسان شکار تهدیدات سایبری
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با مفاهیم و ساختار سیستمعامل ویندوز
- آشنایی ابتدایی با زبان برنامهنویسی C یا ++C
- آشنایی با مفاهیم امنیت سایبری
سرفصلهای دوره
-
Windows Internals 101
-
User mode & Kernel mode
-
Process Internals
-
Thread Internals
-
Virtual Memory
-
Registry Structure
-
Objects & Handles
-
PE File Structure
-
DLLs and Dynamic Linking
-
Structured Exception Handling
-
PEB, EPROCESS
-
TEB, ETHREAD
-
I/O Request Packets and Getting Data from Kernel
-
-
WinDbg 101
-
Assembly Review (x86, x64)
-
Stack/Heap Structures
-
Calling Conventions (x86, x64)
-
Callstacks (Chain of Functions)
-
Symbol Files
-
WinDbg Commands (Native, Debugger, Extensions)
-
Linked-Lists Tracing
-
Time Travel Debugging
-
Kernel Mode Debugging
-
-
Volatility 101
-
Installation/Commands/Plugins
-
Gather Process Information
-
Check Network Connections
-
Registry Inspection
-
DLLs and Handles
-
-
Process Memory Dump Analysis using WinDbg
-
What are the analysis Patterns?
-
Access Violation (Invalid Memory Access)
-
Pointers Problems (Invalid/Null/Corrupted Pointers)
-
Memory Consumption/Corruption
-
Threads Investigation (Blocked/Missing/Active/Passive Threads)
-
Hooked Functions
-
Stack Overflow
-
Exception Tracing
-
Missing Components
-
Waits on Critical Sections
-
Invalid Handle
-
-
-
Kernel & Complete Dump Analysis
-
Dealing with OS Problems (BSOD, Hangs, Memory Corruptions)
-
Understanding Common Windows Services and Processes
-
Identify Rogue Processes
-
Analyze Process DLLs and Handles
-
Review Network Artifacts
-
Look for Evidence of Code Injection
-
Acquire Suspicious Processes and Drivers
-
IRP Waiting
-
Zombie Processes
-
Kernel Bugcheck Analysis
-
Deadlock Detection
-
Handle Leakage
-
Pool Corruption
-
Insufficient Memory
-
Network Protocols Inspection
-
Registry Inspection
-
-
Hunting Malware in The Memory