آموزش مهندسی معکوس و تجزیه و تحلیل بدافزار - سطح متوسط

سرفصل ها و درس ها

معرفی Introduction

• معرفی Introduction

انواع اصطلاحات تجزیه و تحلیل بدافزارها و بدافزارها Types of Malware and Malware Analysis Terminologies

• انواع بدافزارها Types of Malware

• اصطلاحات تجزیه و تحلیل بدافزار Malware Analysis Terminologies

آزمایشگاه: تجزیه و تحلیل .NET Trojan Spyware (Info-Stealers) Lab: Analysis of .NET Trojan Spyware (Info-Stealers)

• تجزیه و تحلیل پویا .NET تروجان - قسمت 1 Dynamic Analysis of .NET Trojan - Part 1

• تجزیه و تحلیل پویا .NET تروجان - قسمت 2 Dynamic Analysis of .NET Trojan - Part 2

• تجزیه و تحلیل استاتیک .NET تروجان - قسمت 1 Static Analysis of .NET Trojan - Part 1

• تجزیه و تحلیل استاتیک .NET تروجان - قسمت 2 Static Analysis of .NET Trojan - Part 2

مجتمع زبان مجتمع و API های مخرب Assembly Language Refresher and Malicious APIs

• تازه سازی زبان اسمبلی Assembly Language Refresher

• API های مخرب Malicious APIs

API Hooking ، Hijacking Process و Dumping Memory API Hooking, Process Hijacking and Dumping Memory

• استفاده از API Hooking برای تجزیه و تحلیل بدافزار - PandaBanker Using API Hooking to Analyze Malware - PandaBanker

• ردیابی فرآیند ربودن و تخلیه حافظه Tracing Process Hijacking and Dumping Memory

• رفع ترازبندی بخش ، نقشه برداری ، رفع IAT و بازسازی مجدد Fixing Section Alignment, Unmapping, fixing IAT and Re-basing

آزمایشگاه: باز کردن تروجان Emotet Lab: Unpacking Emotet Trojan

• باز کردن بسته بندی 1: تجزیه و تحلیل استاتیک تروجان Emotet Unpacking Part 1: Static Analysis of Emotet Trojan

• Unpacking Part 2: Debugging of Emotet Trojan to Hunt For Unpacked Code Unpacking Part 2: Debugging of Emotet Trojan to Hunt For Unpacked Code

• بازکردن بسته بندی قسمت 3: رهاسازی حافظه و برداشتن نگاشت فایل رها شده Unpacking Part 3: Dumping Memory and Unmapping Dumped File

آزمایشگاه: باز کردن تروجان Hancitor Lab: Unpacking Hancitor Trojan

• IDA تجزیه و تحلیل استاتیک و xdbg شمارش نقاط شکست IDA Static Analysis and xdbg Enumerating Breakpoints

• اتصال API و ردیابی حافظه API Hooking and Memory Tracing

• تخلیه حافظه و برداشتن نقشه Dumping Memory and Unmapping File

آزمایشگاه: باز کردن تروجان Vmprotect Lab: Unpacking Vmprotect Trojan

• اتصال API با VirtualProtect ، VirtualAlloc و GetProcAddress API Hooking with VirtualProtect, VirtualAlloc and GetProcAddress

• ردیابی حافظه و تخلیه Scylla Memory Tracing and Scylla Dumping

• PE-Studio و Reconstructor دلفی تعاملی (IDR) PE-Studio and Interactive Delphi Reconstructor (IDR)

آزمایشگاه: باز کردن تروجان Trickbot Lab: Unpacking Trickbot Trojan

• باز کردن بسته 1: API Hooking Unpacking part 1: API Hooking

• باز کردن بسته 2: تخلیه از Memory Map Unpacking part 2: Dumping from Memory Map

• باز کردن بسته 3: Un-mapping Dumped File Unpacking part 3: Un-mapping Dumped File

آزمایشگاه: باز کردن تروجان Dridex Lab: Unpacking Dridex Trojan

• Dridex - قسمت 1 - تجزیه و تحلیل اولیه Dridex - part 1 - Initial Analysis

• Dridex - قسمت 2 - شمارش شمارش API Dridex - part 2 - API Enumeration Count

• Dridex - قسمت 3 - خود تزریق و فرایند هکر دامپینگ Dridex - part 3 - Self-Injection and Process Hacker Dumping

• Dridex - قسمت 4 - بازکردن نقشه حذف شده Dridex - part 4 - Unmapping the Dumped File

آزمایشگاه: باز کردن تروجان Ramnit Lab: Unpacking Ramnit Trojan

• Ramnit - قسمت 1 - استفاده از CreateProcessInternalW برای ردیابی فرایند کودک Ramnit - part 1 - Using CreateProcessInternalW to Track Child Process

• رامیت - قسمت 2 - ردیابی VirtualAlloc برای شناسایی زمانی که به تخلیه Ramnit - part 2 - Tracking VirtualAlloc to Identify When To Dump

• Ramnit - قسمت 3 - باز کردن بسته UPX با CFF Explorer Ramnit - part 3 - Unpacking UPX with CFF Explorer

آزمایشگاه: بازکردن Remcos Trojan با xdbg و dnSpy Lab: Unpacking Remcos Trojan with xdbg and dnSpy

• Remcos - قسمت 1 - کاوش .NET با xdbg Remcos - part 1 - exploring .NET with xdbg

• Remcos - قسمت 2 - CreateProcessInternalW ، WriteProcessMemory و NtResumeThread Remcos - part 2 - CreateProcessInternalW, WriteProcessMemory and NtResumeThread

• Remcos - قسمت 3 - تجزیه و تحلیل با PE -Bear و PE -Studio Remcos - part 3 - Analysis with PE-Bear and PE-Studio

• Remcos - قسمت 4 - باز کردن بسته با dnSpy با ردیابی Invoke Remcos - part 4 - Unpacking with dnSpy by tracing Invoke

آزمایشگاه: بازکردن تروجان Zloader Lab: Unpacking Zloader Trojan

• zloader - قسمت 1 - PE-Studio و API Hooking تا مجتثار Zloader - part 1 - PE-Studio and API Hooking until VirtualProtect

• Zloader - قسمت 2 - ردیابی اشاره گر به کد بسته بندی نشده برای تخلیه Zloader - part 2 - Tracing Pointer to Unpacked Code for Dumping

• Zloader - قسمت 3 - PE-Studio و تجزیه و تحلیل PE-BEAR Zloader - part 3 - PE-Studio and PE-Bear Analysis

منابع برای مطالعه بیشتر Resources For Further Study

• سخنرانی پاداش Bonus Lecture