معرفی دوره FOR526

دوره FOR526 یا مموری فارنزیک به بررسی شواهد و مدارک که در حافظه موقت سیستم ها وجود دارد می پردازد بسیاری از بدافزارها ، باج افزارها و روت کیت ها را فقط در مموری میتوانیم رصد کنیم زیرا هدف اصلی آن ها آلوده کردن جداول کرنل می باشد و دسترسی به این جدول ها فقط از طریق حافظه موقت امکان پذیر می باشد در دوره FOR526 به افراد توانایی شناسایی بد افزار های پیشرفته ، فعالیت کاربران ، استخراج کلیدهای رمزنگاری و بسیاری دیگر از شواهد و مدارک آموزش داده می شود

سرفصل های دوره FOR526

فصل اول :

در بخش اول دوره مموری فارنزیک  به  افراد روش های مختلف تهیه Image از حافظه موقت به افراد آموزش داده می شود و  نرم افزار های Volatility و Rekal  بررسی می شود و نحوه استخراج اطلاعات توسط این نرم افزار ها از مموری آموزش داده می شود

فصل دوم :

در بخش دوم دوره FOR526  استخراج اطلاعات به صورت  Unstructured انجام می شود و مواردی از قبیل : IP ,MAC, EMAIL,Encryption key و اطلاعات محرمانه کاربران به عنوان شواهد و مدارک استخراج می شود . در ادامه این بخش ساختار پروسس ها در سیستم عامل ویندوز  ، بررسی و شناسائی پروسس های مخفی ، ارتباط بین فایل های پردازشی مختلف  مورد بحث قرار میگیرد

فصل سوم :

این فصل دوره Memory Forensic به بررسی انواع حملات از نوع Code Injection و hooking می پردازد بررسی فایل های DLL مشکوک و شناسایی کدهای مخربی که در DLL قرار گرفته است و نگاهی عمیق به درایور ها و آلوده کردن Dispatch Table سیستم عامل ویندوز موارد دیگر این فصل می باشد

فصل چهارم :

در بخش چهارم دوره FOR526   بررسی Crash Dump فایل ها و فارنزیک فایل hibernate در دستور کار قرار دارد. در صورتیکه سیستم عامل خاموش شده باشد ما فقط به فایل hibernate و page file دسترسی داریم که بخشی از اطلاعات حافظه موقت در آن ها ذخیره می شود

فصل پنجم :

در بخش آخر دوره مموری فارنزیک به به بررسی rootkit ها و شناسایی آن ها در سیستم عامل می پردازیم تکنیک رایجی که بسیاری از Rootkit ها از آن استفاده میکند آلوده کردن جداول کرنل سیستم عامل می باشد که در این بخش افراد با جداول مختلف کرنل و شیوه های آلوده کردن این جداول آشنا می شوند و سپس با تکنیک های شناسایی Rootkit آشنا می شوند