Memory Forensics - Day2

در این ویدیو در ادامه مباحث مقدماتی ورود به بحث جرم یابی

حافظه(Memory Forensic), به موارد اسمبلی ، ریجسترها در CPU، کار با ابزار Immunity debugger ، مبحث bit ها و ساختار 32 بیتی و 64 بیتی.

این موارد ضروری برای ورود به مموری فارنزیک و حتی مهندسی معکوس و تحلیل بدافزار می باشد. می بایست جهت تجزیه و تحلیل فرایندها، پروسه ها و حتی شناسایی کد مخرب الزامات دانستن این مفاهیم می باشد.

البته بسیار کلی و فشرده مطالب مطرح گردید.

https://aparat.com/v/SpoXt

در این قسمت آموزشی در خصوص مباحثی همچون ساختار Hex، نحوه اجرای یک برنامه بر روی حافظه(Memory)، تخصیص منابع حافظه به OS و میزان حافظه آزاد برای اجرای برنامه بر روی سطح مموری و همچنین مدیریت مموری(Memory Management)، بحث در خصوص تقسیم بندی و صفحه بندی در سطح مموری و نحوه بارگذاری برنامه ها و همچنین در خصوص نحوه ترجمه آدرس از سطح virtual memory به physical memory شده است. در ادامه ویدیو درباره جداول صفحه بندی مانند TLB و Page Table مواردی گفته شده است.

نکته مهم در این ویدیو آشنایی با Control Register ها بود که چگونه این ریجستر می تواند رفتار سطح CPU را تغییر و یا کنترل کند.

انواع Control Register به شرح ذیل می باشد:

CR0, CR1, CR2 , CR3, CR4, CR5-7

https://www.aparat.com/v/S4JxT

How I created an undetectable Backdoor for Windows — Ethical Hacking

https://pentestmag.com/how-i-created-an-undetectable-backdoor-for-windows-ethical-hacking-2

جذب کارشناس تست نفوذ شبکه

Collect information of Windows PC when doing incident response
Link:
https://github.com/mamun-sec/dfirt

Volatility-2 Forensics Tool GUI and CheatSheet

Volatility-2 Forensics Tool GUI

https://github.com/Hamza-Megahed/volatility-gui

همانطور که گفته شده بود امروز در خصوص ساختار Hex و نحوه تجزیه و تحلیل آن مطالبی عنوان شد و در ادامه با مبحث Data structures هم در داده های پایه و هم در فرایند مواجهه با تحلیل و آنالیز در سطح حافظه فرار گفتگو شد
داده های پایه از جمله آرایه، رکورد، استرینگ و همچنین داده های دیجیتال برای آنالیز از جمله داده های مانا و نامانا ، گذرا و شکننده در سطح سیستم عامل
این مطالب آمادگی مقدماتی را برای ورود بهتر به بحث Memory Forensic Investigation ایجاد می نماید
Language : persian
https://aparat.com/v/DrcZh

برای کسب تخصص در جرمیابی حافظه(Memory Forensic) و یا بهتر بگویم DFIR می بایست اطلاعاتی در خصوص ساختار پردازه ها(Process Structure)، نحوه فراخوانی پردازه بر روی حافظه یا همان مموری و همچنین در خصوص نحوه استفاده از ابزار windbg بعنوان دیباگر ویندوزی داشته باشید
در این ویدیو علاوه بر مباحث ذگر شده فوق با ساختار و معماری Eprocess و سطح یوزر و کرنل در ویندوز مطالبی ارائه شده است.
در سطح کاربر در موقع اجرای فایل اجرایی، چگونه یک برنامه از Win32 API و کتابخانه ها و توابع بهره مند میگردد و در صورتی که یک برنامه مخرب(Malware) از این ظرفیت برای جعل api و یا قلاب کردن بر روی جداولی همچون IAT و یا IDT ،SSDT و غیره استفاده می نماید تا عملیات های مخرب خود را انجام دهد به دور از شناسایی شدن و تشخیص توسط ابزارهای امنیتی و فارنزیکی
https://aparat.com/v/34zo8

در این ویدیو به مبحث Triage Investigation Process پرداختم، ابتدا جایگاه Triage در ساختار Incident Response و سپس معرفی ابزارهای برای کشف و شناسایی Artifacts در سیستم عامل,
از جمله ابزارهای معرفی شده عبارتند از:
sysinternals
Nirsoft'
FastIr
TriageIr
DFIRTriage
https://aparat.com/v/inZEO

memory forensic - day7
در این ویدیو در ادامه مباحث دوره و همچنین عنوان Become a DFIR | Threat Hunting به مسائل شکار تهدیدات پرداختیم
روز هفتم از دوره جرم یابی حافظه با عنوان Be the Hunter اختصاص یافته و به سرفصل های ذیل تقسیم شده است
شکار تهدیدات چیست؟
هدف اصلی شکار تهدیدات
تخصص های مورد نیاز در تیم شکار تهدیدات
تیم هانت به دنبال چیست
آثاری که دشمنان بر روی سیستمها و شبکه های سازمانی میگذارند
شکار تهدیدات فعال و غیر فعال
مدل های شکار تهدیدات
تکنیک های مورد علاقه شکار
این مباحث در این قسمت به صورت تئوری مطرح گردید
https://aparat.com/v/J24f8

💯Octopus - Open Source Pre-Operation C2 Server Based On Python And Powershell💯

Octopus is an open source, pre-operation C2 server based on python which can control an Octopus powershell agent through HTTP/S.

The main purpose of creating Octopus is for use before any red team operation, where rather than starting the engagement with your full operational arsenal and infrastructure, you can use Octopus first to attack the target and gather information before you start your actual red team operation.

Octopus works in a very simple way to execute commands and exchange information with the C2 over a well encrypted channel, which makes it inconspicuous and undetectable from almost every AV, endpoint protection, and network monitoring solution.

One cool feature in Octopus is called ESA, which stands for "Endpoint Situational Awareness", which will gather some important information about the target that will help you to gain better understanding of the target network endpoints that you will face during your operation, thus giving you a shot to customize your real operation based on this information.

Octopus is designed to be stealthy and covert while communicating with the C2, as it uses AES-256 by default for its encrypted channel between the powershell agent and the C2 server. You can also opt for using SSL/TLS by providing a valid certficate for your domain and configuring the Octopus C2 server to use it.

https://www.kitploit.com/2022/05/octopus-open-source-pre-operation-c2.html?m=1

در این قسمت به نحوه ایمیج گیری فارنزیکی از سطح مموری پرداختم، اصطلاح ایمیج فارنزیکی از سطح مموری، Memory Dump گفته می شود.
حالت های مختلف و همچنین فرمت های مختلف Dump گفته شد، و در نهایت معرفی ابزارهای Memory dump در ویندوز ارائه شد
از جمله FTK Imager, DumpIt, Ram capture Belkasoft, Magnet Memory Capture
https://www.aparat.com/v/2HLd6

Memory forensics-Day9
در  ادامه مطالب این دوره آموزشی طبق اعلام قبلی به حوه ایمیج گرفته از سطح ماشین های مجازی و سیستم عامل لینوکس پرداختم
در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه دهنده خدمات در سازمان متبوع قاعدتا بر روی دیستروهای لینوکسی است. در نتیجه قدم ورود به تحلیل و آنالیز عمیق گرفتن ایمیج فارنزیکی از سطح مموری خواهد بود.
در این ویدیو از محدودیت های دسترسی به داده های سطح مموری در لینوکس گفتیم و چگونه می توانیم این محدودیت را از بین ببریم و یک Memory Dump داشته باشیم گفته شد
https://www.aparat.com/v/TajF1

💯برای علاقمندان به هکینگ و تست نفوذ💯

✅همه در یک جا

hackingtool - All in One Hacking tool For Hackers

https://hakin9.org/hackingtool-all-in-one-hacking-tool-for-hackers/

✨ Offensive Security Cheatsheet

Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam

🔗https://cheatsheet.haax.fr/web-pentest/

✨ Offensive Security Cheatsheet

Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam

🔗https://cheatsheet.haax.fr/web-pentest/

یک ریپو عالی برای تیم قرمز
Windows for Red Teamers

https://github.com/morph3/Windows-Red-Team-Cheat-Sheet

چند وقت پیش یک سمینار در حوزه پاسخگویی به حوادث(Incident Handling) برگزار کردم< با توجه به اینکه با استارت دوره رایگان Memory Forensic و سوالاتی که عزیزان همراه از بنده پرسش داشتند، به نظرم آمد ،برای پاسخ به سوالات و همچنین آشنایی ساختاری به استاندارد در حوزه CSIRT ویدیو این سمینار که تقریبا 3 ساعت است محضر همگی تقدیم می کنم.

https://www.aparat.com/v/9wLbp