×
ribbon
مکتب خونه آی‌تی و نرم‌افزارسیستم عاملویندوز

تا پایان تخفیف

آموزش اینترنال و تحلیل حافظه ویندوز

مدرس:

ابوالفضل کاظمی

درک دقیق Internals سیستم های عامل ، و به طور مشخص ویندوز، برای محققان امنیت، تحلیل گران بدافزار،... بیشتر
محبوب کاربران
گواهی‌نامه
دسترسی: کامل
اطلاعات بیشتر
4.9 (19)
8 دیدگاه
680دانشجو
92ساعت
سرفصل‌ها
پیشرفته سطح دوره
محتوای دوره
سرفصل‌ها
پیش‌نیاز‌ها
توضیحات دوره
دیدگاه کاربران
درباره مدرس

آنچه در این دوره می‌آموزید

بررسی موارد مشکوک در ویندوز و استفاده از آن برای Malware Hunting

شیوه‌ی استفاده از مباحث Internal ویندوز در تیم‌های آبی و قرمز

پایه‌ریزی تحلیل حافظه و Memory Forensics

آشنایی با مباحث از طریق نمایش کد برای درک عمیق موضوع

این دوره شامل:

29 ساعت ویدئو

6 جلسه متنی

2 فایل ضمیمه قابل دانلود

دسترسی به تالار گفتگو

گواهینامه مکتب‌خونه

دسترسی مادام‌العمر به محتوای دوره

13 هفته مهلت ارسال تمرین و پروژه

سرفصل‌های دوره

11 فصل138 جلسه29 ساعت ویدیو
Windows Architecture
  مجموعه کدها و اسلایدهای دوره
00:04
  معرفی سطوح دسترسی در CPU
06:48
  معرفی WSL و WindowsSandbox
03:59
  مروری بر منابع دوره
03:49
  مروری بر نسخه‌های مختلف ویندوز
07:31
  معرفی API ویندوز و گرفتن نسخه ویندوز با کد
17:47
  معرفی و کاربرد فایل Manifest
02:54
  فراخوانی توابع به صورت پویا با گرفتن آدرس تابع
13:40
  همگرایی نسخه‌های مختلف ویندوز
02:11
  مروری بر ویندوز 11
02:13
  معرفی ابزارهای استفاده شده در دوره
01:47
  مقدمات پروسه‌های ویندوز
07:04
  استفاده از Task Manager برای کسب اطلاعات
10:24
  شرح وضعیت Not Responding
01:58
  معرفی و مروری بر روی ابزار Process Explorer
18:19
  مقدمات حافظه مجازی در ویندوز
15:16
  مروری بر نخ‌های ویندوز
18:11
  کاربردهای حافظه‌ی TLS
12:20
  دریافت اطلاعات Thread Context و تغییر آن برای اجرای کد
19:08
  ایجاد Thread با API ویندوز و نمایش علت نیاز به انجام Synchronization
11:42
  ایجاد Semaphore با API ویندوز و بررسی آن با ابزار SysInternals
08:28
  مروری بر معماری ویندوز
16:50
  معرفی Subsystemهای ویندوز
16:27
  مقدمه‌ای بر COM و تست آن با Powershell
08:52
  شیوه‌ی نوشتن کدهای Native
06:54
  ساختار کدهای Native و پیاده‌سازی یک دمو
16:36
  پروژه فصل اول (الزامی)
120:00
WinDbg Basics and Windows Syscalls
  معرفی فایل Symbol و ابزار WinDbg
15:11
  شیوه‌ی استفاده از WinDbg‌ برای برنامه‌ها
03:10
  نحوه‌ی تنظیم کردن مسیر Symbolها
07:54
  اتصال به ویندوز با WinDbg به صورت Local
14:10
  اتصال به ویندوز با WinDbg به صورت Remote
20:25
  تشریح چرخه‌ی SystemCall در ویندوز
22:23
  معرفی ReactOS‌ و نمایش چند API در آن
09:23
  بررسی اجرای SystemCall به کمک WinDbg
24:57
  بررسی خواندن فایل در Notepad – بخش اول CreateFileW
17:50
  بررسی خواندن فایل در Notepad – بخش دوم Call Stack و نتیجه‌ی توابع
14:30
  بررسی خواندن فایل در Notepad – بخش سوم ReadFile
15:51
  گذاشتن Breakpoint‌ بر روی توابع Usermode‌ در دیباگ کرنل
19:45
  پروژه فصل دوم (الزامی)
240:00
Important Windows Processes
  مروری بر پروسه‌های اصلی ویندوز
12:55
  بررسی Session و Desktop در ویندوز
09:07
  استفاده از Desktop Hooks و پیاده‌سازی Key Logger
09:16
  مرور روش‌های مختلف Hooking
03:26
  ایجاد نشست و نقش پروسه‌ی smss
08:21
  ورود به ویندوز و ساخت محیط به کمک پروسه‌ی Winlogon
05:28
  احراز هویت کاربران با پروسه‌ی lsass
13:38
  شیوه‌ی استفاده از ابزار Mimikatz برای دریافت هش رمز کاربران
07:37
  فعال کردن Wdigest و دریافت رمز عبور کاربران
09:57
  مرور فرآیند احراز هویت و پیاده‌سازی lsass در ویندوز
07:51
  بررسی تابع احراز هویت ویندوز به کمک WinDbg
15:48
  پیاده‌سازی یک Provider برای احراز هویت و ثبت اطلاعات کاربران
18:45
  جمع‌بندی و بررسی شروع به کار ویندوز به کمک ProcessMonitor
22:19
  پروژه فصل سوم (الزامی)
360:00
Function Calling Conventions
  شرح قواعد فراخوانی و ساختار stack در مدل 32بیتی
19:53
  مرور یک مثال فراخوانی تابع از روی اسلاید
10:45
  شرح مدل‌های مختلف فراخوانی توابع در مدل 32بیتی
07:15
  بررسی فراخوانی توابع 32بیتی در Visual Studio
23:19
  نمایش مدل فراخوانی توابع WinAPI
02:09
  شرح شیوه‌ی رخ‌دادن و نمایش دمو از Buffer Overflow
20:58
  تفاوت فراخوانی توابع به صورت ByValue و ByRef
08:19
  شرح شیوه‌ی فراخوانی توابع در مدل 64بیتی
10:03
  تغییر تنظیمات VisualStudio برای بررسی برنامه در WinDbg
07:27
  بررسی شروع اجرا و فراخوانی تابع main‌ در WinDbg
11:57
  بررسی structها در WinDbg
18:46
  بررسی فراخوانی توابع و dump برنامه در WinDbg
18:09
  پروژه فصل چهارم (الزامی)
300:00
Process and Thread Internals
  معرفی ساختار EPROCESS در سمت کرنل ویندوز
08:44
  شیوه‌ی پیاده‌سازی لیست پیوندی دو طرفه در کرنل
10:33
  نوشتن کد برای پیاده‌سازی لیست پیوندی دو طرفه به شیوه‌ی کرنل
20:37
  مفهوم Containing Record و دسترسی به struct در لیست پیوندی
12:21
  بررسی لیست پیوندی به کمک dt در WinDbg
05:36
  بررسی لیست پروسه‌ها به کمک ActiveProcessLinks در کرنل
09:08
  پیاده‌سازی TokenStealing در WinDbg برای افزایش دسترسی پروسه
20:20
  تغییر لیست پروسه‌ها برای مخفی کردن پروسه‌ به کمک WinDbg
21:13
  طرز کار PatchGuard
02:50
  شرح پروسه‌های Protected
19:05
  پیاده‌سازی TokenStealing با WinAPI
14:25
  معرفی ساختار ETHREAD در کرنل ویندوز
12:31
  جزئیات Thread Stack
01:58
  پروژه فصل پنجم (الزامی)
360:00
Memory Management
  مروری بر مفاهیم حافظه مجازی
06:56
  مفهوم Virtual Page و طرز کار Thread Stack
11:43
  بررسی Page Guard در ابزار VMMap
03:04
  معرفی شمارنده‌های حافظه
03:03
  جزئیات حافظه‌ی مجازی
21:50
  شمارنده‌های حافظه در Task Manager ویندوز
04:20
  شمارنده‌های حافظه در ابزار Process Explorer
05:47
  شمارنده‌های حافظه در ابزار VMMap
13:16
  معرفی تابع VirtualAlloc
10:26
  اشتراک‌گذاری کد به کمک DLL
07:39
  اشتراک‌گذاری Pageها
03:39
  حفاظت از حافظه و تزریق کد به کمک DLL
18:35
  معرفی Heap Manager
14:27
  مثال از Heap API
16:35
  حافظه‌ی سیستم و Poolهای سمت کرنل
13:16
  پروژه فصل ششم (الزامی)
300:00
Driver Development
  معرفی ماژول‌های کرنلی در ویندوز
21:14
  ساختار کلی درایورهای ویندوزی
07:29
  نوشتن کد راه‌اندازی و حذف درایور
13:20
  ارتباط با درایور به کمک IOCTL
07:05
  نوشتن کد سمت یوزر و تست درایور
23:07
  جزئیات پیاده‌سازی یک Rootkit
13:08
  دیباگ درایور – راه‌انداز درایور
14:36
  دیباگ درایور – کد کلاینت و ارتباط با درایور به کمک IOCTL
19:45
PE Details
  معرفی فایل‌های PE و ابزار مورد نیاز برای تحلیل آن‌ها
18:54
  مروری بر ساختار PE و موارد تعریف شده در فایل winnt.h
08:30
  جزئیات PE‌ و هدر DOS
14:29
  هدرهای NT, Optional
12:38
  ساختار Data Directories و هدرهای Sectionها
06:33
  بدست آوردن EntryPoint از روی آدرس‌های raw, Virtual
12:02
  بدست آوردن اسم DLLها از Directory Table
18:41
  بدست آوردن اسم توابع از Name Table
13:19
  مروری بر موارد مطرح شده
14:17
  کاربرد Hint در Name Table
20:23
  بدست آوردن آدرس توابع از Address Table
06:04
  نوشتن برنامه برای IAT Hooking
21:15
  شرح ساختار Export Directory
26:16
  ساختار PEB, TEB
24:01
  لیست پیوندی DLLهای استفاده شده و شرح LDR-Data
12:43
  فراخوانی پویای توابع به کمک LDR
16:09
  پروژه فصل هشتم (الزامی)
480:00
GlobalFlags, Exceptions and Registry
  شرح کاربرد GlobalFlags و انجام یک روش Persist‌ با آن
16:23
  شیوه‌ی مدیریت استثنا
10:58
  بررسی استثنای Page Guard‌ در کد
18:52
  بررسی استثنای Page Gaurd‌ به کمک WinDbg
02:19
  توضیحی در مورد کاربرد ChatGPT برای توسعه
05:02
  ابزار NotMyFault‌ و تولید BSOD‌ در ویندوز
05:33
  مروری بر ساختار Registry
12:02
  پروژه فصل نهم (الزامی)
420:00
Memory Forensics
  کد، Symbol‌ و Dump برنامه‌های بررسی شده در این فصل
00:05
  Memory بدافزارهای بررسی شده در فصل و پروژه‌ها
00:07
  مقدمات جرم‌شناسی حافظه
07:10
  مروری بر انواع Dump‌حافظه
12:38
  مثال تحلیل Dump – پیدا کردن استثنای Null Pointer
17:58
  مثال تحلیل Dump – پیدا کردن خطای Heap
09:43
  مروری بر انواع Dump مربوط به System
06:29
  استخراج حافظه برای تحلیل
06:54
  شرح دستورات Volatility
16:15
  تمرین حافظه 1 – بدافزار perseus
14:23
  تمرین حافظه 2 – بدافزار spybot
16:30
  تمرین حافظه 3 – بدافزار prolaco
11:21
  تمرین حافظه 4 – بدافزار taidoor
14:43
  بررسی درایورهای کرنلی به کمک Volatility
12:48
  تمرین حافظه 5 – بدافزار mader
11:20
  پروژه فصل دهم (الزامی)
600:00

پیش‌نیاز‌ها

برای حضور در این دوره لازم است با موارد زیر آشنا باشید:

  • آشنایی با مفاهیم سیستم عامل ویندوز
  • آشنایی ابتدایی با زبان برنامه‌نویسی C و C++
  • آشنایی با مفاهیم امنیت سایبری

توضیحات دوره

درک دقیق Internals سیستم‌های عامل‌، و به طور مشخص ویندوز، برای محققان امنیت، تحلیل‌گران بدافزار، تیم‌های قرمز و آبی و توسعه‌دهندگان نرم‌افزار امری حیاتی است. دانش بیشتر درباره OS می‌تواند به بهبود کارآیی و امنیت سیستمی که این افراد در آن کار می‌کنند مفید باشد. برای محققان امنیت و تحلیل‌گران بدافزار، فهم Internals سیستم‌‌های عامل‌ می‌تواند برای شناسایی و تحلیل بدافزارها و تهدیدات امنیتی، و همچنین توسعه و اجرای اقدامات امنیتی موثر برای محافظت در برابر آنها، ارزشمند باشد.

تیم های قرمز و آبی نیز نیاز به شناخت عمیق از OS دارند تا بتوانند درک دقیقی از سیستم های هدف خود پیدا کنند. تیم های قرمز معمولا به دنبال یافتن نقاط ضعف در سیستم های هدف هستند. با داشتن شناخت بیشتر در مورد سیستم عامل، آنها می توانند به راحتی نقاط ضعف را پیدا کرده و از آسیب پذیری‌های موجود استفاده کنند. از طرفی، تیم های آبی معمولا به دنبال جلوگیری از حملات هستند. با داشتن شناخت بیشتر در مورد سیستم‌های عامل، آنها می توانند بهترین روش‌ها و راهکارهای مقابله با حملات را پیدا کنند.

از طرف دیگر ترکیب کردن مفاهیم بخش‌های مختلف سیستم‌عامل و بررسی کردن ساختارهایی که درحافظه دارند می‌تواند به فرآیند کشف‌بدافزار و انجام Forensic در زمان حمله کمک کند که امری حیاتی است. 

این دوره با هدف کنار هم قرار دادن مباحث عمیق سیستم‌عامل و ترکیب آن با برنامه‌نویسی و تحلیل حافظه منبع خوبی برای محققان امنیت در حوزه‌های مختلف بوده و موارد زیر را پوشش می‌دهد:

  • آشنایی با ساختارهای Internal ویندوز و طرز کار آن‌ها
  • شیوه‌ی استفاده از مباحث Internal ویندوز در تیم‌های آبی و قرمز
  • بررسی موارد مشکوک در ویندوز و استفاده از آن برای  Malware Hunting
  • دلیل بروز استثنا در برنامه‌ها و پیدا کردن Bug 
  • آشنایی با مباحث از طریق نمایش کد برای درک عمیق موضوع
  • پایه‌ریزی تحلیل حافظه و Memory Forensics

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم سیستم‌عامل ویندوز
  • آشنایی ابتدایی با زبان برنامه‌نویسی C یا C++‎
  • آشنایی با مفاهیم امنیت سایبری

همچنین در مکتب خونه انواع دوره آموزش برنامه نویسی، آموزش C و C++‎، آموزش ویندوز و آموزش سیستم عامل به عنوان مکمل و پیش نیاز این دوره موجود است.

دیدگاه کاربران

4.9

بر اساس امتیاز 19 دانشجو

1
2
3
4
5

مرتضی احدی

5 روز پیش

5

یه بخش هایی سخت میشد و توضیحات کافی نبود. با تشکر

سینا محمدی

10 ماه پیش

5

عالی

سیدعلیرضا میرمحمدی

1 سال پیش

5

پیشنهاد میشه اگر در حوزه امنیت فعالیت دارید ونیاز به شناخت سیستم عامل دارید حتما این دوره رو ببینید ، فقطاپدیتی لازم داره کویندوز11 هم پوشش داده بشه چرا که برخی از اجزا در این دو ویندوز فرق کردند.

امیرحسین ضرغامی

1 سال پیش

5

با تشکر از مهندس کاظمی. من دوره اینترنال دیگری هم دیده بودم ولی این دوره مهندس کاظمی خیلی بیان خوبی داشتند و توضیحات اضافی و خسته کننده نداشت و همش کاربردی بود. همین طور به مطالب در ادامه فلش بک زده می شد و مجددا مرور می شد.

امیرحسین پورشمس

1 سال پیش

5

سلام کدهای دوره در اختیار نیستند متاسفانه

سید سجاد احمدی دزفولی

2 سال پیش

5

سلام من به تازگی فیلم دریافت اطلاعات thread context رو از فصل معماری ویندوز دیدم. واقعا دارم از این دوره لذت میبرم. دست آقای ابوالفضل کاظمی درد نکنه، دست مکتبخونه هم درد نکنه. فقط یک نکته: ای کاش مکتبخونه محدودیت زمانی این دوره رو بیشتر کنند برای امتحاناتش و دریافت مدرکش، چون خیلی ها شاغل هستند و فرصت مطالعه محدود دارند. نکته دیگه برای دوستانی که میخواند این دوره رو ثبت نام کنند باید بگم که یک پیشزمینه لازمه که متوجه بشید استاد دقیقا چی داره میگم. دوره سنگینه و مطالبش سطح بالاست، البته به بهترین شکل داره مطرح میشه اما با این حال سطح بالاست و نیاز به یه مقدار پیش زمینه داره. متشکرم

گواهینامه اختصاصی دو زبانه

پس از گذراندن دوره به صورت آنلاین در سایت مکتب‌خونه، گواهی‌نامه رسمی پایان دوره به زبان فارسی و انگلیسی، توسط مکتب‌خونه به اسم شما صادر شده و در اختیار شما قرار می‌گیرد.

امکان اشتراک گذاری در لینکدین
دو زبانه
ابوالفضل کاظمی
2دوره
16,400دانشجو
575نظر و امتیاز

ابوالفضل کاظمی فارغ‌التحصیل کارشناسی ارشد نرم‌افزار از دانشگاه علم و صنعت است. از دوران دبیرستان علاقه به مباحث شبکه، برنامه‌نویسی و تدریس در این زمینه داشته و از همان دوران فعالیت خود را با یادگیری و آموزش زبان ویژوال بیسیک شروع کرد. از سال ۸۷ به تدریس حرفه‌ای پرداخته و از سال 90 مشغول فعالیت در زمینه‌ی برنامه‌نویسی و امنیت است.

مهارت‌هایی که می‌آموزید

ویندوز

دوره‌های مشابه

سوالات پرتکرار

حداقل و حداکثر زمانی که می‌توانم یک دوره را بگذرانم چقدر است؟

برای گذراندن دوره، حداقل زمان مشخصی وجود ندارد و شما می‌توانید در هر زمان که مایل هستید، ویدیوهای آموزشی دوره را ببینید و تمارین را انجام دهید؛ اما برای هر دوره یک حداکثر زمان تعیین شده که در صفحه معرفی دوره قابل مشاهده است که تنها در این بازه زمانی امکان تصحیح پروژه‌ها توسط پشتیبان و دریافت گواهی‌نامه را خواهید داشت.

آیا پس از به اتمام رساندن و قبولی در دوره، می‌توانم نسخه فیزیکی گواهی‌نامه را دریافت کنم؟

خیر. به‌دلیل ملاحظات محیط‌زیستی و کاهش مصرف کاغذ، گواهی‌نامه فقط به‌صورت الکترونیکی ارائه می‌شود.

آیا بعد از پایان مدت دوره همچنان به محتوای آن دسترسی دارم؟

بله. پس از پایان مدت دوره نیز به ویدئوها، تمرین‌ها، پروژه‌ها و سایر محتوای آموزشی دوره دسترسی خواهید داشت؛ اما امکان تصحیح تمرین‌ها توسط پشتیبان دوره و دریافت گواهی‌نامه برای شما وجود نخواهد داشت.

آیا در صورت خرید دوره، گواهی‌نامه آن به من تعلق می‌گیرد؟

خیر. با خرید دوره، امکان شرکت در دوره و دسترسی به محتوای آن را خواهید داشت؛ اما تنها در صورتی که در بازه زمانی تعیین‌شده دوره را با موفقیت و نمره قبولی به اتمام برسانید، گواهی‌نامه به نام شما صادر می‌شود.