Windows & Linux Internals for Defence

علیرضا کلانترزاده

پیشرفته
مسیر آبی

۱۰ درس

ثبت نام سازمانی این دوره

طول دوره

۴۰ساعت

گواهی‌نامه و آزمون

دارد

ظرفیت

۲ نفر باقی مانده

نوع برگزاری

حضوری

ارتباط با واحد آموزش برای ثبت‌نام اقساطی

دربارۀ این دوره

در دنیای امروز که حمله‌های سایبری، به‌سرعت درحال تکامل هستند، تیم‌های امنیتی نیازمند دانش عمیق و تخصصی، در خصوص سیستم‌عامل‌های پرکاربرد مانند ویندوز هستند و این مورد، یکی از چالش‌های اصلی تیم‌های آبی است. سیستم‌عامل، به‌دلیل معماری پیچیده و قابلیت‌های متعدد خود، بستری مناسب برای مهاجمان، به‌منظور پنهان‌سازی فعالیت‌های مخرب فراهم می‌کند. بنابراین درک دقیق از معماری و اجزای مختلف آن، پیش‌نیاز ضروری برای تیم‌های آبی در حوزه‌هایی مانند شکار تهدید، تحلیل بدافزار و تشخیص رفتارهای غیرعادی است.
این دوره، با هدف آموزش معماری سیستم‌عامل و آشنایی با اجزای کلیدی آن طراحی شده است. مباحث این دوره، به‌گونه‌ای تدوین شده‌ است که شرکت‌کنندگان، پس از اتمام دوره بتوانند به‌صورت مؤثر، به شناسایی و تحلیل تهدیدات بپردازند. در طول این دوره، مفاهیمی نظیر مدیریت حافظه در سیستم‌عامل‌ها، نحوۀ عملکرد پروسس‌ها و Threadها، سیستم مدیریت I/O، معماری امنیتی سیستم‌عامل و نحوۀ بهره‌برداری از ابزارهای داخلی سیستم‌عامل، به‌منظور شکار تهدید و تحلیل بدافزار آموزش داده خواهد شد.
این دوره، نه‌تنها به متخصصان امنیت کمک می‌کند تا با شناسایی صحیح قابلیت‌های داخلی سیستم‌عامل، فعالیت‌های مشکوک را بهتر تشخیص دهند، بلکه به آن‌ها، در تحلیل عمیق‌تر بدافزارها و تهدیدات پیشرفته نیز یاری می‌رساند. تسلط بر این مباحث، به تیم‌های آبی امکان می‌دهد تا به شکلی مؤثرتر با تهدیدات مقابله کنند و امنیت زیرساخت‌های سازمانی را ارتقا دهند.

مدت‌زمان این دوره ۴۰ ساعت است که روزهای پنجشنبه، از ساعت ۰۹:۰۰ تا ۱۵:۰۰ و روزهای جمعه، از ساعت ۰۹:۰۰ تا ۱۶:۰۰، به‌صورت حضوری برگزار خواهد شد. محل برگزاری کلاس نزدیک به خیابان سید خندان است. تاریخ شروع این دوره، روز پنجشنبه ۱۱ اردیبهشت ۱۴۰۴ خواهد بود.

مخاطبان

کارشناسان لایۀ ۲ و ۳ مرکز عملیات امنیت
کارشناسان فعال در حوزۀ شکار تهدید
کارشناسان تیم بنفش
کارشناسان تحلیل بدافزار

پیش‌نیازها

آشنایی ابتدایی با زبان‌های برنامه‌نویسی C یا ++C
تجربۀ حداقل یک سال در حوزۀ امنیت سایبری

سرفصل‌ها

Windows Architecture
- Windows Timeline
- Windows Versions
- Tools
- User Mode and Kernel Mode
- Windows APIs
- Manifest File
- Windows Native Code
- COM Objects
- PE Files
- Windows System Call
  - Windows Authentication Providers Internals
Processes and Threads in Windows
- Process and Thread Fundamentals
- Process and Thread Structures
- Process and Thread States
- Protected Processes
- Important Windows Processes
- Trace Windows Startup
Objects and Handles
- Windows Objects
- Access Control List
- Access Check
- Impersonation
- Privileges
- Process Handle Table
- Object Headers
Memory Management in Windows
- Virtual Memory
- Page Guard
- Functions for Memory Allocation
Linux Architecture
- Linux History
- Linux Kernel Mode and User Mode
- Linux System Call
- Analyze Some Important Structures in Kernel Source
- Kernel Modules
- ELF Files
- Virtual Filesystem
Build Own Linux
- Compile a Linux Kernel
- Using the compiled Linux
Processes and Threads in Linux
- Process and Thread Fundamentals
Tools
- Strace
- Ftrace
- eBPFTrace
WinDbg and GDB Fundamentals
AV and EDR
- CallBack in EDRs
- Hooking in EDRs
- EDR Drivers
- EDR Actions and Data Collection in User mode and Kernel mode