AbdulRhman Alfaifi 🇸🇦
#DFIR, #Developer, #Rust I write blogs about stuff that interest me, check them out at https://t.co/5bspWHXm5d
عرض في 𝕏سلاسل التغريدات
#رمضانيات_DFIR 16 رمضان - Jumplist 🦘📃 ال jumplist هو artifact في ال windows يساعد المستخدم أنه يشوف اخر كم ملف أنفتح من برنامج معين. نقدر نستخدمه ك DFIR Specialist عشان نطلع اخر ا...
#رمضانيات_DFIR 15 رمضان - LNK 🔗 هذا ال artifact مستخدم بشكل كبير في ال windows. ال LNK عبارة عن إختصار لبرنامج, ملف, مجلد, إل. المخترقين يستخدمون ملفات ال LNK عشان يقدرون ينفذون أ...
#رمضانيات_DFIR 14 رمضان - authrozed_keys 🔐 ال authorized_keys هو artifact خاص بال SSH ويستخدم بشكل أساسي من قبل مديري الخوادم لأدارة الأجهزة بأنظمة ال *nix. #DFIR #BlueTeam
#رمضانيات_DFIR 13 رمضان - BMC 🖼️ ال BMC هو artifact يسوي cache للصور الي في ال Windows RDP session. يسوي cache للأجزاء الي ثابتة من الصورة بحيث أن الجهاز الي مسوي تسجبل دخول علي...
#رمضان_DFIR 12 رمضان - Windows Event Logs 📒 ال Windows Event Logs أو WEL هو artifact في جميع الأصدارات لل Microsoft Windows. ال WEL يحتوي على ملايين السجلات الخاصة بالعمليات الي ت...
#رمضانيات_DFIR 11 رمضان - wtmp/btmp ✅🚫 في أنظمة ال Linux فيه two artifacts يسجلون عمليات تسجيل الدخول الناجحة و غير الناجحة. التسجيل الدخول الناجح يتسجل في wtmp وغير الناجحة في bt...
#رمضانيات_DFIR 10 رمضان - Schedule Tasks ⏱️ ال Schedule Tasks يوفر طريقة أنه يشغل برامج بشكل دوري. يستخدم من قبل البرامج لتشغيل المهام الدورية مثل تحديث البرامج. المخترق يستخدمها...
#رمضانيات_DFIR 9 رمضان - WMI Persistence ♻️ ال WMI هو نظام كبير في ال Windows يساعدك أنك تسوي أدارة للنظام بالأضافة لأسترجاع معلومات عن النظام مثل أصدار Windows, معلومات عن ال Pro...
#رمضانيات_DFIR 8 رمضان - PowerShellHistory 🐚 أبتداءا ب PowerShell v5 Microsoft أضافت ملف جديد لل PowerShell history أسمه ConsoleHost_history.txt. #DFIR #BlueTeam
#رمضانيات_DFIR 7 رمضان - Secure$ 🔒 ال Secure$ هو من الملفات الخاصة بنظام الملفات NTFS. هذا ال artifact يحفظ معلومات المالك و الصلاحيات للملفات و المجلدات على جهاز التخزين. عشان تع...
#رمضانيات_DFIR 6 رمضان - Amcache ⚙️ ال Amcache هو artifact يحتوي على البرامج الي صار لها تنفيذ على النظام. هذا ال artifact يعتبر execution artifact. ال Amcahce هو عبارة عن registr...
#رمضانيات_DFIR 5 رمضان - Prefetch 🔁 ال Prefetch هو artifact مفعل بشكل أفتراضي فقط في نسخة Windows الخاصة بال Workstations, على ال Windows Server مهي مفعلة بشكل أفتراضي. ال Prefetc...