آموزش تجزیه و تحلیل دستی بدافزار (سازگار با ویندوز 10/11)

سرفصل ها و درس ها

ارائه Presentation

• خوش آمدی Welcome

• شرح دوره Course Description

مقدمه ای بر تجزیه و تحلیل بدافزار Introduction to Malware Analysis

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• بدافزار چیست؟ ناقلان عفونت، چرا ما تجزیه و تحلیل بدافزار را انجام می دهیم؟ What is malware? Infection Vectors, Why do we perform malware Analysis?

• انواع بدافزار، اجزای بدافزار، مرکز فرماندهی و کنترل Types of malware, Malware components, Command and Control Center

• بدافزار چگونه وارد سیستم شما می شود؟ روشهای پیشگیری، تحلیل استاتیکی و دینامیکی How malware get in your system? Prevention methods, Static and Dynamic Analysis

• مقدمه ای بر تجزیه و تحلیل بدافزار Introduction to Malware Analysis

راه اندازی آزمایشگاه Setting up the Lab

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• راه اندازی ماشین مجازی ویندوز 10 Setting up Windows 10 virtual machine

• راه اندازی Inetsim در ماشین مجازی کالی لینوکس Setting up Inetsim in Kali Linux virtual machine

• راه اندازی Inetsim در ماشین مجازی ویندوز 10 Setting up Inetsim in Windows 10 virtual machine

• تنظیمات جعبه مجازی Virtual Box settings

• ماشین مجازی ویندوز 10 را به صورت آنلاین برگردانید Get back Windows 10 virtual machine on line

اقدامات احتیاطی قبل از شروع هر آزمایشگاه Precautions before start any Lab

• قبل از شروع هر آزمایشگاه Before start any Lab

تجزیه و تحلیل استاتیک Static Analysis

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• قابل حمل قابل اجرا (PE) Portable Executable (PE)

• نوع فایل File Type

• انگشت نگاری Fingerprinting

• رشته های Strings

• مبهم سازی Obfuscation

تحلیل دینامیک Dynamic Analysis

• نحوه انجام تحلیل دینامیک How to carry out Dynamic Analysis

• تحلیل استاتیکی و دینامیکی Static and Dynamic Analysis

تحلیل استاتیکی و دینامیکی عملی Hands-on Static and Dynamic Analysis

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• مهندسی اجتماعی و دانلودرها Social Engineering and Downloaders

• گرفتن کیلاگرها Catching Keyloggers

• جذب ترافیک کی لاگر 1/2 Catching keylogger traffic 1/2

• جذب ترافیک کی لاگر 2/2 Catching keylogger traffic 2/2

بدافزار در DLL ها Malware in DLLs

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• DLL چیست؟ Imports/Exports/Apis، مقدمه ای بر تزریق Dll What are DLLs? Imports/Exports/Apis, Introduction to Dll Injection

• تکنیک های تزریق Dll، جزئیات تزریق کد از راه دور Dll injection tecniques, Remote code injection details

• کد نویسی Remote dll injection Coding Remote dll injection

• کدگذاری بدافزارها در DLL Coding malware into DLLs

• DLL ها و بدافزارها DLLs and malware

تجزیه و تحلیل DLL های مخرب Analyzing malicious DLLs

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• تجزیه و تحلیل DLL با rundll32 DLL analysis with rundll32

• تجزیه و تحلیل DLL با x32dbg DLL analysis with x32dbg

• تجزیه و تحلیل DLL با ترکیب x32dbg، rundll32 و procmon DLL analysis combining x32dbg, rundll32 and procmon

• تجزیه و تحلیل DLL با Noriben DLL analysis with Noriben

کدنویسی کی لاگرها Coding Keyloggers

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• بررسی کد Keylogger TotalAware3 Keylogger TotalAware3 code review

• ارائه Keylogger TotalAware2 Keylogger TotalAware2 presentation

• TotalAware2 ماژول جاسوسی فیس بوک 1/2 TotalAware2 Facebook spy module 1/2

• TotalAware2 ماژول جاسوسی فیس بوک 2/2 TotalAware2 Facebook spy module 2/2

• نمایندگان در سی شارپ Delegates in C#

• شنونده صفحه کلید TotalAware2 1/2 TotalAware2 keyboard listener 1/2

• شنونده صفحه کلید TotalAware2 2/2 TotalAware2 keyboard listener 2/2

• کی لاگرها Keyloggers

کد نویسی باج افزار Coding Ransomware

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• باج افزار چیست؟ علائم عفونت، مراحلی که یک باج افزار انجام می دهد What is Ransomware? Infection symptoms, Steps a Ransomware carry out

• مقابله با عفونت باج افزار، فلوچارت Ransomware Rams1 Dealing with ransomware infection, Ransomware Rams1 flowchart

• بررسی کد Rams1 1/3 Rams1 code review 1/3

• بررسی کد Rams1 2/3 Rams1 code review 2/3

• بررسی کد Rams1 3/3 Rams1 code review 3/3

• بررسی کد DecryptRams1 DecryptRams1 code review

• گرفتن Rams1 با wireshark Catching Rams1 with wireshark

• افزودن لایه های پیچیدگی به Rams1 1/2 Adding Complexity layers to Rams1 1/2

• افزودن لایه های پیچیدگی به Rams1 2/2 Adding Complexity layers to Rams1 2/2

• باج افزار Ransomware

کسب بیشتر از تمرینات Getting more from practices

• اجزای بدافزار رمزگشایی شدند Malware components deciphered

• دریافت شاخص های سازش (IoC) Getting Indicators of Compromise (IoC)

شیمز Shims

• ارائه بخش و اهداف یادگیری Section presentation and learning objectives

• شیم چیست؟ برای چیست؟ چگونه کار می کند؟ What is a shim? What is for? How it works?

• راه اندازی آزمایشگاه برای نمایش Shims 1/2 Setting up the lab for Shims demonstration 1/2

• راه اندازی آزمایشگاه برای نمایش شیمس 2/2 Setting up the lab for Shims demonstration 2/2

• سوء استفاده از ویژگی شیم برای تزریق بدافزار Abusing shim feature to inject malware.

• استخراج داده ها با استفاده از Metasploit. Exfiltrating data using Metasploit.

• مقابله با عفونت های شیم. Dealing with shim infections.