سوف اكتب بعض النصائح الي تساعد في عمل تحليل memory forensics. اثناء عمل اي تحليل سواء للذاكرة او اي تحليل اخر يجب معرفه ماهو السلوك الطبيعي والمتوقع حتى يمكن معرفه السلوك الطبيعي malicious activity.
في موضوع تحليل الذاكرة اكثر شي يهم وهو العمليات الي تعمل في النظام
في موضوع تحليل الذاكرة اكثر شي يهم وهو العمليات الي تعمل في النظام
مهم جدا ان يتم دراسة وفهم العمليات الاساسية الي يحتاجها وندوز كجزء اساسي من النظام، كخطوه اولى هذه مقالة توضح هذه العمليات والغرض منها
andreafortuna.org
ممكن ايضا سانس بوستر hunt evil فيه معلومات وسرد لهذه العمليات
andreafortuna.org
ممكن ايضا سانس بوستر hunt evil فيه معلومات وسرد لهذه العمليات
يجب ان تعرف المعلومات التاليه ولو تسجلها للخطوات الجايه
اسم العمليه
الاب للعمليه parent process
المسار للملف binary image path
المستخدم
واذا فيك نشاط كمان شويه loaded dlls
اسم العمليه
الاب للعمليه parent process
المسار للملف binary image path
المستخدم
واذا فيك نشاط كمان شويه loaded dlls
ولكن لا تكتفي بهذه العمليات فقط، حاول تنزل اكثر من نسخه وندوز مثل وندوز سيرفر ، ووندوز desktop وكذلك نسخه لاصدارات مختلفه بدايه وندوز سبعه وانتهاء باخر اصدار
قم بمعرفه business environment وسجل كل البرامج الي في هذه البيئه وكذلك ادرس العمليات والمعلومات الي تخصها كذلك الاتصالات الي تخرج ومنها وحاول تعمل ملف بسيط تكتب فيه هذه العمليات ويكون مرجع لك
الخطوة الي بعدها ان تقوم بتنزيل كل البرامج الي يكثر استخدامها مثل البرامج الخدميه والمتصفحات ..الخ وادرس هذه العمليات واعرف نفس المعلومات واتعود على هذه العمليات وكذلك ضيف العمليات ومعلوماتها للملف
الان بعد معرفه ودراسه السلوك الطبيعي اي hunting tactic بيكون فعال للغايه وتقدر تلقط الmalicious process اسرع بكثير
في النهايه هذه ورقه من sans reading room لنفس الفكره وهي عملي baseline للنشاط الطبيعي على الذاكره
sans.org
sans.org
جاري تحميل الاقتراحات...