هذه الدورة هي استمرار لمراحل تحليل البرمجيات الخبيثة (التحليل الديناميكي المتقدم) لجميع أنواع الملفات الخبيثة على الويندوز، مثل:
• ملفات PE: (ملفات EXE و DLL و shellcodes)
• مستندات Office: (ملفات Word و PPT و Excel و RTF)
• ملفات PDF
• البرامج النصية (Javascript أو Jscript أو VBS أو PowerShell)
• الملفات التنفيذية التي تحتوي على اللغة الوسيطة، مثل dotNet و python و AutoIt
• ملف APK لأي تطبيق أندرويد
سوف نتعلم أيضًا:
• السلوكيات الشائعة لعينات البرمجيات الخبيثة (عملية الحقن وتصعيد الصلاحيات) والعديد من الأساليب والتقنيات.
• أساسيات تشفير البيانات وتحويلها لأكواد.
باستخدام العديد من الأدوات مثل x64dbg و IDA التصحيح عن بعد و dnSpy و oletools و Didier Stevens suite و python uncompyle6 والمزيد ...
-
تحميل وإعداد مصحح أخطاء x64 / x32 لنظام التشغيل Windows.
-
تحميل ملف، أو ملف DLL، أو shellcode إلى x64dbg.
-
إرفاق ملحق لعملية موجودة في x64dbg.
-
وضع x64dbg كمصحح أخطاء JIT.
-
استخدم جميع نوافذ x64dbg (التفكيك والتسجيلات والتفريغ والمكدس والتعليقات وخريطة الذاكرة والخيوط وكدس المكالمات وعرض الرسم البياني / السجل وشريط الأوامر) .
-
التنقل بسهولة داخلX4DBG باستخدام: (زر التقدم خطوة للداخل، خطوة لأعلى، خطوة للخارج، زر تشغيل، زر إعادة تحميل، تشغيل على كود المستخدم، زر التراجع عن التعليمات الأخيرة، زر انتقل إلى نقطة، نقطة توقف السوفت وير والهاردوير، إضافة تعليق / عنوان / علامة
مرجعية).
-
تتبع التنفيذ.
-
كسر بعض البرامج في x64dbg.
-
استخدام الإضافات والبرامج النصية: (xAnalyzer، ScyllaHide، Ollydumpex ، Scylla).
-
الوصول إلى نقاط الدخول للملفات التنفيذية.
-
مصحح IDA، وخاصية التصحيح التلقائي.
-
استخدام موقع Miter ATT & CK للتعرف على الخطط والتقنيات التي يستخدمها المهاجمين. .
-
التفريق بين تقنيات الهجمات: (سرقة بيانات الاعتماد، البقاء في الخلفية Persistence، تصعيد الصلاحيات ، بادئ البرمجيات الخبيثة، برمجيات خبيثة بدون ملف، حقن العملية، حقن APC ، وضع المستخدم rootkit، مضاد للجهاز الافتراضي، برامج الفدية) .
-
تحليل عينة لبرمجيات خبيثة تقوم بـ PrivEsc (صلاحية Sedebug ، خاصية UAC) .
-
تحليل عينة لبرمجيات خبيثة تقوم بـحقن العملية .
-
تحليل عينة لبرمجيات خبيثة تحتوي على تقنيات مكافحة تصحيح الأخطاء .
-
التفريق بين اختبارات مكافحة تصحيح الأخطاء: ("ISDebuggerPresent"، "CheckRemotedEbuggerPresent"، "Beingdebugged"، وفحص التوقيت، ورصد سلوك التصحيح، واستخدام INT3 & INT2D) .
-
تحليل البرمجيات الخبيثة التي تستغل نقاط الضعف المصحح.
-
التفريق بين ترميز البيانات والتشفير .
-
رصد العديد من مخططات الترميز والتشفير (ASCII ، Unicode ، URL ، BASE64 ، شفرة "الاستبدال/الدوران"، شفرة "Xor") .
-
فك الشفرة (Unicode ، Base64) باستخدام CyberChef .
-
التعرف على البيانات المشفرة (ذو مقياس انتروبي عالي ، سلاسل ، ثوابت التشفير ، يدويًا) .
-
اعداد مصحح الأخطاء لجعل البرمجيات الخبيثة تقوم بفك تشفير بياناتها المشفرة ذاتياً .
-
حل Flare-On 7 Challenge بفك تشفير RC4 .
-
فك تشفير RC4 باستخدام طريقتين: "اعداد مصحح الأخطاء" و "فك التشفير اليدوي باستخدام python / java"
-
تحليل عينات البرمجيات الخبيثة باستخدام التحليل الديناميكي المتقدم: (نموذج "IcedID" +نموذج برنامج الفدية "DarkSide") .
-
تثبيت أدوات py3 و py2 و OLE وتثبيت DidierStevensSuite ومراقب CMD وإطار عمل .NET .
-
تحليل ملف MS Office باستخدام: (oleid، olevba، oledump، CMD Watcher) .
-
التفريق بين تنسيق Office "Legacy" وتنسيق OOXML .
-
تحليل عينة (VBA macro ، macro XLM ، حقن القالب) .
-
تحليل ملفات RTF باستخدام rtfobj و RTFdump .
-
كشف السلاسل المشفرة في ملف RTF باستخدام xorsearch .
-
تثبيت أداة تحليل peepdf و PDF .
-
تحليل عينات PDFS الخبيثة (عينة تحتوي على كود JS ، وعينة التصيد ، وعينة DRM ، وعينة شرك النوبليوم) .
-
تحليل تحاليل خبيثة لجافا سكريبت، و PowerShell، وVBScript .
-
وصف بصمة المتصفح.
-
تشغيل JS / JScript على windows(باستخدام cScript مقابل wScrip).
-
تحليل وتبسيط شفرة JS الخبيثة.
-
استخدام Visual Studio Debugger، PowerShell ISE.
-
فك / تصحيح / إلغاء تشفير نموذج لكود .NET (باستخدام DnSpy ، De4dot).
-
فك / إلغاء تشفير ملف JAR (باستخدام أداة JD GUI ، Recaf ، java-deobfuscator).
-
فك / تحليل عينة AutoIt (باستخدام exe2aut و SciTE و مصحح أخطاء autoit).
-
تركيب / فك عينة AutoIt في EXE.
-
استخراج نص Python النصي من EXE الذي تم إنشاؤه بواسطة PyInstaller (باستخدام pyinstxtractor و uncompyle6 و decompyle3).
-
فك / تحليل عينة برمجيات خبيثة من Pythonوالتي تفشل في فك التحويل البرمجي بشكل صحيح.
-
تحليل ملف Android APK خبيث (ADB & Logcat).
-
فك شفرة ملف Android Manifest باستخدام axmldec.
-
تفكيك / فك تجميع عينة android (باستخدام apktool، dex2jar، jd-gui).
-
التفريق بين المحاكاة الافتراضية لـ Android والتقليد (باستخدام QEMU و AVD manager).
-
تحميل صور نظام Android و AVD Manager.
-
استخدام أوامر ADB الدفع والسحب و Logcat.
-
تثبيت (تحميل جانبي) / إلغاء تثبيت APK باستخدام أوامر ADB.