آکادمی راوین

Professional Windows Memory Analysis

ابوالفضل کاظمی
ابوالفضل کاظمی
  • پیشرفته
  • مسیر آبی
  • ۶ درس
ثبت نام سازمانی این دوره
تاریخ شروع
۳ دی ۱۴۰۱
طول دوره
۴۲ ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۰ نفر باقی مانده

درباره‌ی این دوره

حافظه‌ی کامپیوتر اطلاعات زیادی از وضعیت اجرای پروسه‌ها، اطلاعات و داده ساختارهای استفاده شده توسط آن‌ها، خطاهای پیش آمده و همچنین وضعیت و داده‌های سیستم‌عامل را در بر دارد. دسترسی به حافظه نه تنها از جنبه‌ی برنامه‌نویسی و بررسی مشکلات نرم‌افزارها و رفع آن‌ها اهمیت دارد، بلکه از دید یک متخصص امنیت نیز ارزش زیادی داشته و می‌توان از آن برای پیدا کردن موارد مشکوک، تشخیص حمله و کشف و تحلیل بدافزار استفاده کرد. تحلیل حافظه همچنین یکی از ارکان مهم در شاخه‌ی Digital Forensic به حساب می‌آید. در واقع هنگام پاسخ به یک رخداد سایبری، با ثبت حافظه‌ی یک دستگاه در معرض خطر می‌توانید به سرعت تجزیه و تحلیل‌هایی را برای شناسایی بدافزارهای بالقوه و جمع آوری IOCها انجام دهید و سپس از آن‌ها برای شناسایی دیگر دستگاه‌های در معرض خطر استفاده کنید. این دوره با هدف بررسی حافظه‌ی سیستم‌عامل ویندوز و پروسه‌های آن، به صورت Live و به کمکDump، به صورتی طراحی شده است که موارد زیر را پوشش داده و می‌تواند برای برنامه‌نویسان و متخصصین امنیت بسیار کاربردی باشد:
  • آشنایی با ساختارهای Internal ویندوز و طرز کار آن‌ها
  • بررسی موارد مشکوک در ویندوز و استفاده از آن برا ی Malware Hunting
  • دلیل بروز استثنا در برنامه‌ها و پیدا کردن Bug
  • بررسی دلیل Hang و Crash در پروسه‌ها و سیستم‌عامل
مدت زمان این دوره ۴۲ ساعت است که طی ۱۴ جلسه‌ی ۳ ساعته، شنبه‌ و چهارشنبه‌ی هر هفته از ساعت ۱۷:۳۰ الی ۲۰:۳۰، به صورت آنلاین برگزار خواهد شد. شروع این دوره از روز شنبه ۳ دی ماه خواهد بود.

این دوره به چه افرادی توصیه می‌شود؟

  • متخصصین برنامه‌نویسی
  • تحلیل‌گران امنیت سایبری و کارشناسان مراکز SOC
  • کارشناسان Digital Forensic
  • مشاورین امنیت سایبری
  • کارشناسان شکار تهدیدات سایبری

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم و ساختار سیستم‌عامل ویندوز
  • آشنایی ابتدایی با زبان برنامه‌نویسی C یا ++C
  • آشنایی با مفاهیم امنیت سایبری

سرفصل‌های دوره

  • Windows Internals 101
    • User mode & Kernel mode
    • Process Internals
    • Thread Internals
    • Virtual Memory
    • Registry Structure
    • Objects & Handles
    • PE File Structure
    • DLLs and Dynamic Linking
    • Structured Exception Handling
    • PEB, EPROCESS
    • TEB, ETHREAD
    • I/O Request Packets and Getting Data from Kernel
  • WinDbg 101
    • Assembly Review (x86, x64)
    • Stack/Heap Structures
    • Calling Conventions (x86, x64)
    • Callstacks (Chain of Functions)
    • Symbol Files
    • WinDbg Commands (Native, Debugger, Extensions)
    • Linked-Lists Tracing
    • Time Travel Debugging
    • Kernel Mode Debugging
  • Volatility 101
    • Installation/Commands/Plugins
    • Gather Process Information
    • Check Network Connections
    • Registry Inspection
    • DLLs and Handles
  • Process Memory Dump Analysis using WinDbg
    • What are the analysis Patterns?
      • Access Violation (Invalid Memory Access)
      • Pointers Problems (Invalid/Null/Corrupted Pointers)
      • Memory Consumption/Corruption
      • Threads Investigation (Blocked/Missing/Active/Passive Threads)
      • Hooked Functions
      • Stack Overflow
      • Exception Tracing
      • Missing Components
      • Waits on Critical Sections
      • Invalid Handle
  • Kernel & Complete Dump Analysis
    • Dealing with OS Problems (BSOD, Hangs, Memory Corruptions)
    • Understanding Common Windows Services and Processes
    • Identify Rogue Processes
    • Analyze Process DLLs and Handles
    • Review Network Artifacts
    • Look for Evidence of Code Injection
    • Acquire Suspicious Processes and Drivers
    • IRP Waiting
    • Zombie Processes
    • Kernel Bugcheck Analysis
    • Deadlock Detection
    • Handle Leakage
    • Pool Corruption
    • Insufficient Memory
    • Network Protocols Inspection
    • Registry Inspection
  • Hunting Malware in The Memory

گواهینامه‌ی دوره

گواهی نامه Professional Windows Memory Analysis

دوره های مشابه