#رمضانيات_dfir
2 رمضان - WER 🚫
ال WER او Windows Error Reporting هو artifact يسجل معلومات البرامج الي صار لها crash.هذي التقارير تنرسل ل Microsoft عشان يحللون المشكلة ليش صار crash للبرنامج, بس نقدر نستفيد منها ك DFIR Specialist في حالة أنه صار crash لبرنامج خبيث
#DFIR #BlueTeam
2 رمضان - WER 🚫
ال WER او Windows Error Reporting هو artifact يسجل معلومات البرامج الي صار لها crash.هذي التقارير تنرسل ل Microsoft عشان يحللون المشكلة ليش صار crash للبرنامج, بس نقدر نستفيد منها ك DFIR Specialist في حالة أنه صار crash لبرنامج خبيث
#DFIR #BlueTeam
التقارير هذي موجودة في C:\ProgramData\Microsoft\Windows\WER, داخل هذا المجلد بتلقى مجلدين
سويت برنامج بسيط ب #Rust يصير له crash اول ما يشتغل عشان نجرب عليه. أول ما نشغل البرنامج بيصير له crash
لو نروح للمجلد حق التقارير راح تلقاه جوا المجلد ReportQueue, و بعد فترة بينرسل ل Microsoft و بينتقل المجلد ل ReportArchive
غالبا تلقى مجلدات كثيرة داخل ReportArchive أو ReportQueue. بتلقى أسم المجلد فيه أسم البرنامج الي صار له crash, في المثال هذا أسم البرنامج "I_will_crash.exe". داخل المجلد الخاص بهذا البرنامج بتلقى ملف أسمه "Report.wer", الملف بصيخة text فتقدر تفتحه بأي text editor.
الملف Report.wer يحتوي على معلومات كثيرة خاصة بالبرنامج (metadata). هذي الصور تعطيك أهم المعلومات الي تقدر تطلعها من هذا ال artifact
وش ممكن يفيدك فيه ال WER artifact؟
واحدة من ال cases الي أستغلت عليها كان فيه malware مشغلة ال adversary و بعدين حذف الملف و ماكان فيه طريقة أرجعة. بس كان فيه مشكلة في الكود حقة فكان يصير له crash لما يحاول يشغله, فهنا قدرت أجيب معلومات عن هذا ال malware من ال WER
واحدة من ال cases الي أستغلت عليها كان فيه malware مشغلة ال adversary و بعدين حذف الملف و ماكان فيه طريقة أرجعة. بس كان فيه مشكلة في الكود حقة فكان يصير له crash لما يحاول يشغله, فهنا قدرت أجيب معلومات عن هذا ال malware من ال WER
جاري تحميل الاقتراحات...