نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
توضیحات دوره:
دوره آموزشی سطح متوسط در زمینه مهندسی معکوس و تجزیه و تحلیل انواع بدافزارها و اصطلاحات تجزیه و تحلیل استاتیکی تحلیل پویا به روز رسانی زبان و APIهای مخرب API Hoking، Process Hijacking، Dumping Memory Identifying Standard and Custom Packers Packing BreakrtualTuerectum و Hooking loc ، GetProcAddress، CreateProcessInternalW و سایر APIهای رایج با استفاده از پلاگین Scylla برای تخلیه حافظه، رفع جداول IAT با استفاده از بازساز تعاملی دلفی از حافظه خالی از نمایشگر حافظه، هکر فرآیند و نقشه حافظه API Enumeration Count Trick To Know When to Dump و تراز بخش ها، برداشتن نقشه و بازپایه گذاری فایل های ریخته شده و موارد دیگر... پیش نیازها: رایانه شخصی ویندوز با ماشین مجازی و Flare-VM نصب شده برخی اصول اولیه در تجزیه و تحلیل بدافزار یا مهندسی معکوس نرم افزار.
اگر قبلاً دانش اولیه مهندسی معکوس و تجزیه و تحلیل بدافزار دارید و میخواهید بیشتر ادامه دهید، این دوره برای شما مناسب است. من شما را از سطح پایه به سطح متوسط در مهندسی معکوس و تجزیه و تحلیل بدافزارها می برم. شما با استفاده از روش های عملی فراوانی خواهید آموخت. تمرکز این دوره بر نحوه باز کردن بدافزار خواهد بود. اکثر بدافزارهای مدرن برای شکست دادن تحلیل ها بسته بندی شده اند. از این رو، این دوره سطح متوسط دانش و مهارت های لازم را برای باز کردن بدافزار ارائه می دهد. تمامی ابزارهای مورد نیاز معرفی و توضیح داده خواهد شد. در پایان این دوره، شما مهارت سطح متوسط در تجزیه و تحلیل بدافزارها را برای ادامه تحصیل در این زمینه خواهید داشت. حتی اگر قصد ندارید تجزیه و تحلیل بدافزار را به عنوان یک حرفه انتخاب کنید، همچنان دانش و مهارت های به دست آمده در مهندسی معکوس و تجزیه و تحلیل برای معکوس کردن نرم افزار نیز برای شما مفید خواهد بود.
همه چیز بسیار کاربردی است. بدون تئوری یا سخنرانی خسته کننده. بیشتر شبیه راهحلهایی است که میتوانید آنها را تکرار کرده و دنبال کنید. ما بر روی API Hooking و Memory Analysis and Tracing تمرکز خواهیم کرد تا مشخص کنیم پس از اینکه یک بدافزار محموله خود را در حافظه باز کرد کجا و چه زمانی باید حافظه را تخلیه کنیم. در این دوره، ما از ماشین مجازی Oracle نصب شده با Flare-VM استفاده خواهیم کرد. توجه داشته باشید که تمامی نرم افزارهای استفاده شده در این دوره رایگان هستند.
موضوعات عبارتند از:
انواع بدافزار و اصطلاحات
تحلیل پویا و استاتیک
بازنگری زبان و APIهای مخرب را مونتاژ کنید
API Hooking، Process Hijacking، Dumping Memory
تثبیت ترازهای بخش، حذف نقشه و پایه گذاری مجدد فایل های ریخته شده
شمارش نقاط شکست و ردیابی حافظه
Hoking VirtualProtect، VirtualAlloc، GetProcAddress، CreateProcessInternalW و سایر APIهای رایج
استفاده از پلاگین Scylla برای تخلیه حافظه
استفاده از بازساز تعاملی دلفی
کاهش حافظه از Memory Viewer، Process Hacker و Memory Maps
ترفند شمارش شمارش API برای دانستن زمان تخلیه
خود تزریق و تزریق نخ از راه دور
و موارد دیگر...
این دوره برای:
مناسب است
دانشجویانی که قبلاً دوره تحلیل بدافزار سطح پایه را گذراندهاند
هکرها به دنبال ابزارها و تکنیک های اضافی برای معکوس کردن نرم افزار هستند
مهندسین معکوس که می خواهند در تحلیل بدافزار سرمایه گذاری کنند
پیش نیازها:
برخی اصول اولیه در تجزیه و تحلیل بدافزار یا مهندسی معکوس نرم افزار.
رایانه ویندوزی با ماشین مجازی و Flare-VM نصب شده .
توجه:
اگر اصول اولیه تجزیه و تحلیل بدافزار را ندارید، توصیه میشود ابتدا دوره قبلی من را که با عنوان:
مبانی تحلیل بدافزار مهندسی معکوس
بروید و اکنون ثبت نام کنید. من شما را در داخل می بینم!
سرفصل ها و درس ها
معرفی
Introduction
معرفی
Introduction
انواع اصطلاحات تجزیه و تحلیل بدافزارها و بدافزارها
Types of Malware and Malware Analysis Terminologies
انواع بدافزارها
Types of Malware
اصطلاحات تجزیه و تحلیل بدافزار
Malware Analysis Terminologies
آزمایشگاه: تجزیه و تحلیل .NET Trojan Spyware (Info-Stealers)
Lab: Analysis of .NET Trojan Spyware (Info-Stealers)
تجزیه و تحلیل پویا .NET تروجان - قسمت 1
Dynamic Analysis of .NET Trojan - Part 1
تجزیه و تحلیل پویا .NET تروجان - قسمت 2
Dynamic Analysis of .NET Trojan - Part 2
تجزیه و تحلیل استاتیک .NET تروجان - قسمت 1
Static Analysis of .NET Trojan - Part 1
تجزیه و تحلیل استاتیک .NET تروجان - قسمت 2
Static Analysis of .NET Trojan - Part 2
مجتمع زبان مجتمع و API های مخرب
Assembly Language Refresher and Malicious APIs
تازه سازی زبان اسمبلی
Assembly Language Refresher
API های مخرب
Malicious APIs
API Hooking ، Hijacking Process و Dumping Memory
API Hooking, Process Hijacking and Dumping Memory
استفاده از API Hooking برای تجزیه و تحلیل بدافزار - PandaBanker
Using API Hooking to Analyze Malware - PandaBanker
ردیابی فرآیند ربودن و تخلیه حافظه
Tracing Process Hijacking and Dumping Memory
رفع ترازبندی بخش ، نقشه برداری ، رفع IAT و بازسازی مجدد
Fixing Section Alignment, Unmapping, fixing IAT and Re-basing
آزمایشگاه: باز کردن تروجان Emotet
Lab: Unpacking Emotet Trojan
باز کردن بسته بندی 1: تجزیه و تحلیل استاتیک تروجان Emotet
Unpacking Part 1: Static Analysis of Emotet Trojan
Unpacking Part 2: Debugging of Emotet Trojan to Hunt For Unpacked Code
Unpacking Part 2: Debugging of Emotet Trojan to Hunt For Unpacked Code
بازکردن بسته بندی قسمت 3: رهاسازی حافظه و برداشتن نگاشت فایل رها شده
Unpacking Part 3: Dumping Memory and Unmapping Dumped File
آزمایشگاه: باز کردن تروجان Hancitor
Lab: Unpacking Hancitor Trojan
IDA تجزیه و تحلیل استاتیک و xdbg شمارش نقاط شکست
IDA Static Analysis and xdbg Enumerating Breakpoints
اتصال API و ردیابی حافظه
API Hooking and Memory Tracing
تخلیه حافظه و برداشتن نقشه
Dumping Memory and Unmapping File
آزمایشگاه: باز کردن تروجان Vmprotect
Lab: Unpacking Vmprotect Trojan
اتصال API با VirtualProtect ، VirtualAlloc و GetProcAddress
API Hooking with VirtualProtect, VirtualAlloc and GetProcAddress
ردیابی حافظه و تخلیه Scylla
Memory Tracing and Scylla Dumping
PE-Studio و Reconstructor دلفی تعاملی (IDR)
PE-Studio and Interactive Delphi Reconstructor (IDR)
آزمایشگاه: باز کردن تروجان Trickbot
Lab: Unpacking Trickbot Trojan
باز کردن بسته 1: API Hooking
Unpacking part 1: API Hooking
باز کردن بسته 2: تخلیه از Memory Map
Unpacking part 2: Dumping from Memory Map
باز کردن بسته 3: Un-mapping Dumped File
Unpacking part 3: Un-mapping Dumped File
آزمایشگاه: باز کردن تروجان Dridex
Lab: Unpacking Dridex Trojan
Dridex - قسمت 1 - تجزیه و تحلیل اولیه
Dridex - part 1 - Initial Analysis
Dridex - قسمت 2 - شمارش شمارش API
Dridex - part 2 - API Enumeration Count
Dridex - قسمت 3 - خود تزریق و فرایند هکر دامپینگ
Dridex - part 3 - Self-Injection and Process Hacker Dumping
Dridex - قسمت 4 - بازکردن نقشه حذف شده
Dridex - part 4 - Unmapping the Dumped File
آزمایشگاه: باز کردن تروجان Ramnit
Lab: Unpacking Ramnit Trojan
Ramnit - قسمت 1 - استفاده از CreateProcessInternalW برای ردیابی فرایند کودک
Ramnit - part 1 - Using CreateProcessInternalW to Track Child Process
رامیت - قسمت 2 - ردیابی VirtualAlloc برای شناسایی زمانی که به تخلیه
Ramnit - part 2 - Tracking VirtualAlloc to Identify When To Dump
Ramnit - قسمت 3 - باز کردن بسته UPX با CFF Explorer
Ramnit - part 3 - Unpacking UPX with CFF Explorer
آزمایشگاه: بازکردن Remcos Trojan با xdbg و dnSpy
Lab: Unpacking Remcos Trojan with xdbg and dnSpy
Remcos - قسمت 1 - کاوش .NET با xdbg
Remcos - part 1 - exploring .NET with xdbg
Remcos - قسمت 2 - CreateProcessInternalW ، WriteProcessMemory و NtResumeThread
Remcos - part 2 - CreateProcessInternalW, WriteProcessMemory and NtResumeThread
Remcos - قسمت 3 - تجزیه و تحلیل با PE -Bear و PE -Studio
Remcos - part 3 - Analysis with PE-Bear and PE-Studio
Remcos - قسمت 4 - باز کردن بسته با dnSpy با ردیابی Invoke
Remcos - part 4 - Unpacking with dnSpy by tracing Invoke
من یک مدرس دانشگاه نیمه بازنشسته هستم و بیش از 20 سال تجربه در زمینه آموزش رایانه و فناوری اطلاعات دارم. علایق من از معکوس کردن ، کدگذاری تا طراحی گرافیک ، برنامه ها ، توسعه بازی ها ، موسیقی ، سلامتی ، معنویت و رفاه است. در اوقات فراغت من نیز پیانو و صفحه کلید می نوازم. من از آموزش حضوری و آنلاین لذت می برم و همچنین عاشق آموزش و الهام بخشیدن به دیگران برای موفقیت و زندگی در رویاهای خود هستم.
نمایش نظرات