تجزیه و تحلیل بدافزار ویندوز برای جوجه تیغی - آموزش مبتدی

سرفصل ها و درس ها

مقدمه ای بر تجزیه و تحلیل بدافزار Introduction to Malware Analysis

• معرفی Introduction

• فرآیند تحلیل Analysis process

راه اندازی آزمایشگاه بدافزار Malware lab setup

• آزمایشگاه تجزیه و تحلیل بدافزار Malware Analysis Lab

• لینک های دانلود Download links

• نصب VirtualBox Windows 10 VM Installing VirtualBox Windows 10 VM

• نصب VirtualBox Guest Additions Installing VirtualBox Guest Additions

• فعال کردن نمایش فایل های مخفی، حذف Windows Defender Enabling hidden files view, removing Windows Defender

• مدیریت نمونه: نمونه های دوره و آرشیوهای محافظت شده با رمز عبور Sample handling: Course samples and password protected archives

• مدیریت نمونه: راه اندازی پوشه مشترک Sample handling: Shared folder setup

• مدیریت نمونه: جلوگیری از اجرا از طریق ACL (فقط میزبان ویندوز) Sample handling: Prevent execution via ACLs (Windows host only)

• شبکه، عکس های فوری و اجرای اولین نمونه Network, snapshots and first sample execution

• غیرفعال کردن به روز رسانی ویندوز Disabling Windows updates

• خلاصه قوانین ایمنی Safety rules summary

• مسابقه قوانین ایمنی Safety rules quiz

مبانی تریاژ و نوع فایل Triage and file type basics

• تریاژ چیست What is triage

• لینک های دانلود Download links

• تریاژ آزمایشگاهی 1: نوع فایل نمونه های ناشناخته را تعیین کنید Lab Triage 1: Determine file types of unknown samples

• نوع فایل چیست What is a file type

• آزمایشگاه تریاژ 2: بررسی کل پرونده Lab Triage 2: Whole file examination

• نام ها و قالب های تشخیص آنتی ویروس برای بدافزارها Antivirus detection names and formats for malware

• رمزگشایی نام های شناسایی آنتی ویروس برای بدافزار Deciphering antivirus detection names for malware

• Lab Triage 3: VirusTotal autoscans and first research Lab Triage 3: VirusTotal autoscans and first research

• تریاژ آزمایشگاهی 4: تجزیه و تحلیل نهایی Lab Triage 4: Final analysis

• آزمایشگاه: محلول ورزش Lab: Exercise solution

• آزمون تریاژ Triage Quiz

فایل های پیچیده و نصب کننده ها Wrapped files and installers

• پیدا کردن کد توسعه دهنده بدافزار Finding the malware developer's code

• فایل های پیچیده شده Wrapped files

• ابزارها و پیوندها Tools and links

• Lab Wapped files 1: Triage of a wraped file Lab Wapped files 1: Triage of a wrapped file

• Lab Wrapped files 2: بدست آوردن اسکریپت با ACL Lab Wrapped files 2: Obtaining the script with ACLs

• فایل های بسته بندی شده آزمایشگاهی 3: تجزیه و تحلیل بار فایل های پیچیده Lab Wrapped files 3: Wrapped file payload analysis

• Lab Wrapped files 4: بدست آوردن اسکریپت با APIMonitor Lab Wrapped files 4: Obtaining the script with APIMonitor

• نصب کننده ها Installers

• Lab Installers 1: Layer 1 Unpacking Nullsoft Lab Installers 1: Layer 1 Unpacking Nullsoft

• Lab Installers 2: Layer 2 فایل های 7zip SFX را استخراج می کند Lab Installers 2: Layer 2 Extract 7zip SFX files

• Lab Installers 3: Extract 7zip SFX configuration Lab Installers 3: Extract 7zip SFX configuration

• Lab Installers 4: Triage از چندین فایل Lab Installers 4: Triage of multiple files

• مسابقه لفاف‌ها و نصاب‌ها Wrappers and installers quiz

مبانی دوام و ضد عفونی بدافزار Malware Persistence and Disinfection Basics

• نقاط توسعه‌پذیری شروع خودکار (ASEPs) Auto Start Extensibility Points (ASEPs)

• رجیستری ویندوز The Windows Registry

• پیوندها Links

• آزمایشگاه: خدمات Lab: Services

• Lab Disinfection 1: Autoruns - Run، IFEO Lab Disinfection 1: Autoruns - Run, IFEO

• ضد عفونی آزمایشگاهی 2: RunOnce، Active Setup، Scheduled Tasks، LNKs Lab Disinfection 2: RunOnce, Active Setup, Scheduled Tasks, LNKs

• آزمون تداوم و ضد عفونی بدافزار Malware Persistence and Disinfection Quiz

فرمت قابل حمل قابل اجرا و دات نت Portable Executable format and .NET

• مقدمه ای بر فایل های اجرایی قابل حمل Introduction to Portable Executable files

• مبانی قالب اجرایی قابل حمل Portable Executable format basics

• دانلود PortexAnalyzer، JRE و DnSpy PortexAnalyzer, JRE and DnSpy download

• آزمایشگاه PE 1: خرد MS DOS، هدر فایل COFF، مُهرهای زمانی و ساخت‌های REPRO Lab PE 1: MS DOS stub, COFF file header, timestamps and REPRO builds

• آزمایشگاه PE 2: هدر و جدول بخش اختیاری Lab PE 2: Optional header and section table

• آزمایشگاه PE 3: منابع، نمادها، مسیر اشکال زدایی، واردات Lab PE 3: Resources, icons, debug path, imports

• آزمایشگاه PE 4: ناهنجاری ها و تجسم Lab PE 4: Anomalies and visualization

• تمرین ابرداده اجرایی قابل حمل Portable Executable metadata exercise

• تألیف و تفسیر Compilation and Interpretation

• آزمایشگاه دات نت 1: مبانی دات نت و تریاژ Lab .NET 1: .NET basics and triage

• آزمایشگاه دات نت 2: اجرای فایل، مبانی DnSpy Lab .NET 2: Running the file, DnSpy basics

• آزمایشگاه دات نت 3: جستجوی کد در DnSpy Lab .NET 3: Code search in DnSpy

• آزمون دات نت و اجرایی قابل حمل .NET and Portable Executable Quiz

احکام تجزیه و تحلیل فایل File analysis verdicts

• مقدمه ای بر احکام تجزیه و تحلیل فایل و تجزیه و تحلیل فایل پاک Introduction to file analysis verdicts and clean file analysis

• انواع آنالیز Analysis types

• احکام تجزیه و تحلیل فایل File analysis verdicts

• پاک در مقابل مخرب - رویکردهایی برای تجزیه و تحلیل فایل های پاک Clean vs malicious—approaches for clean file analysis

• ابزارهایی برای تفاوت باینری و یافتن داده های گواهی پنهان Tools for binary diffing and finding hidden certificate data

• نصب ابزار bindiff و گواهی Installing the bindiff and certificate tools

• Lab diffing 1: Diffing باینری با vbindiff و meld Lab diffing 1: Binary diffing with vbindiff and meld

• تفاوت آزمایشگاهی 2: دستکاری گواهی را شناسایی کنید Lab diffing 2: Identify certificate manipulation

• تأیید امضا چگونه کار می کند How signature verification works

• Lab diffing3: تأیید دقیق امضا را اجباری کنید Lab diffing3: Force strict signature verification

• نگاشت نام های تشخیص برای احکام پرونده Mapping detection names to file verdicts

گزارش های طبقه بندی و تجزیه و تحلیل بدافزار Malware classification and analysis reports

• مقدمه ای بر گزارش های تحلیلی Introduction to analysis reports

• نوشتن گزارش تحلیل Writing analysis reports

• طبقه بندی بدافزار Malware Classification

• انواع بدافزار بر اساس انتشار Malware types by propagation

• انواع بدافزار بر اساس رفتار محموله Malware types by payload behavior

• شناسایی خانواده بدافزار Malware family identification

• ابزارها و پیوندها Tools and links

• نوشتن گزارش آزمایشگاه 1: تجزیه و تحلیل اصلی یک دانلودر Lab report writing 1: Main analysis of a downloader

• نوشتن گزارش آزمایشگاه 2: استخراج پروفایل ICC با exiftool Lab report writing 2: ICC profile extraction with exiftool

• نوشتن گزارش آزمایشگاه 3: رمزگشایی بدافزار با CyberChef Lab report writing 3: Malware decryption with CyberChef

• نوشتن گزارش آزمایشگاهی 4: قالب بندی، ساختار و نکاتی برای مقالات وبلاگ Lab report writing 4: Formatting, structure and tips for blog articles

• تجزیه و تحلیل SteamHide FinalMalware.exe SteamHide FinalMalware.exe analysis

اصول اولیه غدرا Ghidra basics

• مقدمه غدرا Ghidra introduction

• لینک دانلود قیدرا Download link for Ghidra

• آماده سازی آزمایشگاه: نصب Ghidra Lab preparation: Installing Ghidra

• Lab Ghidra 1: پروژه جدید، واردات فایل و تجزیه و تحلیل خودکار Lab Ghidra 1: New project, file import and autoanalysis

• Lab Ghidra 2: Windows در مرورگر کد قسمت 1 Lab Ghidra 2: Windows in the codebrowser part 1

• Lab Ghidra 3: Windows در مرورگر کد قسمت 2 Lab Ghidra 3: Windows in the codebrowser part 2

• یافتن آزمایشگاه اصلی 1: برنامه های MinGW و VisualStudio C++ Lab finding main 1: MinGW and VisualStudio C++ applications

• یافتن آزمایشگاه اصلی 2: برنامه دشوارتر Lab finding main 2: A more difficult application

اصول اشکال زدایی با x64dbg Debugging basics with x64dbg

• x64dbg مقدمه x64dbg introduction

• لینک های دانلود و نشانک ها Download links and bookmarks

• Lab x64dbg 1: پنجره های نمایش CPU Lab x64dbg 1: CPU view windows

• آزمایشگاه x64dbg 2: ناوبری Lab x64dbg 2: Navigation

• Lab x64dbg 3: نقاط شکست نرم افزار Lab x64dbg 3: Software breakpoints

• آزمایشگاه x64dbg 4: نقاط شکست سخت افزار Lab x64dbg 4: Hardware breakpoints

• آزمایشگاه x64dbg 5: نقاط شکست حافظه Lab x64dbg 5: Memory breakpoints

• Lab ASLR 1: Rebasing و ویژگی های Dll در هدر اختیاری Lab ASLR 1: Rebasing and DllCharacteristics in the Optional Header

• Lab ASLR 2: تبدیل Hex به Bin، بیت ماسک و غیرفعال کردن حفاظت از اکسپلویت Lab ASLR 2: Hex to Bin Conversion, Bitmasks and Disabling Exploit Protection

• امتحان x64dbg x64dbg Quiz

تجزیه و تحلیل باج افزار با Ghidra و x64dbg Ransomware analysis with Ghidra and x64dbg

• معرفی باج افزار Legion Legion ransomware intro

• باج افزار Lab Legion 1: Triage Lab Legion ransomware 1: Triage

• باج افزار Lab Legion 2: Finding main Lab Legion ransomware 2: Finding main

• باج‌افزار Lab Legion 3: علامت‌گذاری بررسی تاریخ Lab Legion ransomware 3: Date check markup

• باج افزار Lab Legion 4: پیدا کردن عملکرد رمزگذاری Lab Legion ransomware 4: Finding the encryption function

• باج افزار Lab Legion 5: درک رمزگذاری Lab Legion ransomware 5: Understanding the encryption

• باج افزار Lab Legion 6: Patching با x32dbg Lab Legion ransomware 6: Patching with x32dbg

• باج افزار Lab Legion 7: نظارت باج افزار و تست رمزگشایی فایل Lab Legion ransomware 7: Ransomware monitoring and file decryption test

بسته بندی ها و روش های باز کردن بسته بندی Packers and unpacking methods

• بسته بندی ها چگونه کار می کنند How packers work

• روش های باز کردن بسته بندی Unpacking methods

• باز کردن انواع خرد و نحوه کار آنها Unpacking stub types and how they work

• لینک های دانلود و مستندات Download links and documentation

• نصب Python 3 و Speakeasy Installing Python 3 and Speakeasy

• آزمایشگاه Winupack 1: بسته بندی، تعمیر جداسازی قطعات در x32dbg Lab Winupack 1: packing, fix disassembly in x32dbg

• آزمایشگاه Winupack 2: OEP را از طریق ردیابی، تخلیه و تعمیر واردات پیدا کنید Lab Winupack 2: Find OEP via tracing, dump and fix imports

• آزمایشگاه Winupack 3: OEP را از طریق نقطه شکست سخت افزاری در پشته پیدا کنید Lab Winupack 3: Find OEP via hardware breakpoint on stack

• یک رویکرد عمومی باز کردن بسته بندی One generic unpacking approach

• Lab Poison 1: Speakeasy API Loging Lab Poison 1: Speakeasy API logging

• Lab Poison 2: باز کردن بسته بندی از طریق RtlDecompressBuffer Lab Poison 2: Unpacking via RtlDecompressBuffer

• Lab Injector DLL: باز کردن بسته بندی از طریق VirtualAlloc Lab Injector DLL: Unpacking via VirtualAlloc

• پایان دوره Course finale