آموزش اینترنال و تحلیل حافظه ویندوز

درک دقیق Internals سیستم‌های عامل‌، و به طور مشخص ویندوز، برای محققان امنیت، تحلیل‌گران بدافزار، تیم‌های قرمز و آبی و توسعه‌دهندگان نرم‌افزار امری حیاتی است. دانش بیشتر درباره OS می‌تواند به بهبود کارآیی و امنیت ... ادامه

ارائه دهنده:  مکتب‌خونه  مکتب‌خونه
مدرس دوره:
 100% (29 رای)
سطح: پیشرفته
 پلاس
  
زمان مورد نیاز برای گذارندن دوره:  92 ساعت
مجموع محتوای آموزشی:  29 ساعت ویدئو - 63 ساعت تمرین و پروژه
 (قابل دانلود می‌باشد)
مهلت دوره:  13 هفته
  
حد نصاب قبولی در دوره:  70 نمره
فارغ‌التحصیل شدن در این دوره نیاز به ارسال تمرین‌ها و پروژه‌های الزامی دارد. 
organization-pic  گواهینامه این دوره توسط مکتب‌خونه ارائه می‌شود.
course-feature   گواهی‌نامه مکتب‌خونه course-feature   خدمات منتورینگ course-feature   پروژه محور course-feature   تالار گفتگو course-feature   تسهیل استخدام

آنچه در این دوره می‌آموزیم:

 بررسی موارد مشکوک در ویندوز و استفاده از آن برای Malware Hunting

 شیوه‌ی استفاده از مباحث Internal ویندوز در تیم‌های آبی و قرمز

 پایه‌ریزی تحلیل حافظه و Memory Forensics

 آشنایی با مباحث از طریق نمایش کد برای درک عمیق موضوع

پیش‌نیاز‌ها

برای حضور در این دوره لازم است با موارد زیر آشنا باشید:

  • آشنایی با مفاهیم سیستم عامل ویندوز
  • آشنایی ابتدایی با زبان برنامه‌نویسی C و C++
  • آشنایی با مفاهیم امنیت سایبری

سرفصل‌های دوره آموزش اینترنال و تحلیل حافظه ویندوز

Windows Architecture
  معرفی سطوح دسترسی در CPU
"06:48  
  معرفی WSL و WindowsSandbox
"03:59  
  مروری بر منابع دوره
"03:49  
  مروری بر نسخه‌های مختلف ویندوز
"07:31  
  معرفی API ویندوز و گرفتن نسخه ویندوز با کد
"17:47  
  معرفی و کاربرد فایل Manifest
"02:54  
  فراخوانی توابع به صورت پویا با گرفتن آدرس تابع
"13:40  
  همگرایی نسخه‌های مختلف ویندوز
"02:11  
  مروری بر ویندوز 11
"02:13  
  معرفی ابزارهای استفاده شده در دوره
"01:47  
  مقدمات پروسه‌های ویندوز
"07:04  
  استفاده از Task Manager برای کسب اطلاعات
"10:24  
  شرح وضعیت Not Responding
"01:58  
  معرفی و مروری بر روی ابزار Process Explorer
"18:19  
  مقدمات حافظه مجازی در ویندوز
"15:16  
  مروری بر نخ‌های ویندوز
"18:11  
  کاربردهای حافظه‌ی TLS
"12:20  
  دریافت اطلاعات Thread Context و تغییر آن برای اجرای کد
"19:08  
  ایجاد Thread با API ویندوز و نمایش علت نیاز به انجام Synchronization
"11:42  
  ایجاد Semaphore با API ویندوز و بررسی آن با ابزار SysInternals
"08:28  
  مروری بر معماری ویندوز
"16:50  
  معرفی Subsystemهای ویندوز
"16:27  
  مقدمه‌ای بر COM و تست آن با Powershell
"08:52  
  شیوه‌ی نوشتن کدهای Native
"06:54  
  ساختار کدهای Native و پیاده‌سازی یک دمو
"16:36  
  پروژه فصل اول (الزامی)
 100%    
"120:00  
WinDbg Basics and Windows Syscalls
  معرفی فایل Symbol و ابزار WinDbg
"15:11  
  شیوه‌ی استفاده از WinDbg‌ برای برنامه‌ها
"03:10  
  نحوه‌ی تنظیم کردن مسیر Symbolها
"07:54  
  اتصال به ویندوز با WinDbg به صورت Local
"14:10  
  اتصال به ویندوز با WinDbg به صورت Remote
"20:25  
  تشریح چرخه‌ی SystemCall در ویندوز
"22:23  
  معرفی ReactOS‌ و نمایش چند API در آن
"09:23  
  بررسی اجرای SystemCall به کمک WinDbg
"24:57  
  بررسی خواندن فایل در Notepad – بخش اول CreateFileW
"17:50  
  بررسی خواندن فایل در Notepad – بخش دوم Call Stack و نتیجه‌ی توابع
"14:30  
  بررسی خواندن فایل در Notepad – بخش سوم ReadFile
"15:51  
  گذاشتن Breakpoint‌ بر روی توابع Usermode‌ در دیباگ کرنل
"19:45  
  پروژه فصل دوم (الزامی)
 100%    
"240:00  
Important Windows Processes
  مروری بر پروسه‌های اصلی ویندوز
"12:55  
  بررسی Session و Desktop در ویندوز
"09:07  
  استفاده از Desktop Hooks و پیاده‌سازی Key Logger
"09:16  
  مرور روش‌های مختلف Hooking
"03:26  
  ایجاد نشست و نقش پروسه‌ی smss
"08:21  
  ورود به ویندوز و ساخت محیط به کمک پروسه‌ی Winlogon
"05:28  
  احراز هویت کاربران با پروسه‌ی lsass
"13:38  
  شیوه‌ی استفاده از ابزار Mimikatz برای دریافت هش رمز کاربران
"07:37  
  فعال کردن Wdigest و دریافت رمز عبور کاربران
"09:57  
  مرور فرآیند احراز هویت و پیاده‌سازی lsass در ویندوز
"07:51  
  بررسی تابع احراز هویت ویندوز به کمک WinDbg
"15:48  
  پیاده‌سازی یک Provider برای احراز هویت و ثبت اطلاعات کاربران
"18:45  
  جمع‌بندی و بررسی شروع به کار ویندوز به کمک ProcessMonitor
"22:19  
  پروژه فصل سوم (الزامی)
 100%    
"360:00  
Function Calling Conventions
  شرح قواعد فراخوانی و ساختار stack در مدل 32بیتی
"19:53  
  مرور یک مثال فراخوانی تابع از روی اسلاید
"10:45  
  شرح مدل‌های مختلف فراخوانی توابع در مدل 32بیتی
"07:15  
  بررسی فراخوانی توابع 32بیتی در Visual Studio
"23:19  
  نمایش مدل فراخوانی توابع WinAPI
"02:09  
  شرح شیوه‌ی رخ‌دادن و نمایش دمو از Buffer Overflow
"20:58  
  تفاوت فراخوانی توابع به صورت ByValue و ByRef
"08:19  
  شرح شیوه‌ی فراخوانی توابع در مدل 64بیتی
"10:03  
  تغییر تنظیمات VisualStudio برای بررسی برنامه در WinDbg
"07:27  
  بررسی شروع اجرا و فراخوانی تابع main‌ در WinDbg
"11:57  
  بررسی structها در WinDbg
"18:46  
  بررسی فراخوانی توابع و dump برنامه در WinDbg
"18:09  
  پروژه فصل چهارم (الزامی)
 100%    
"300:00  
Process and Thread Internals
  معرفی ساختار EPROCESS در سمت کرنل ویندوز
"08:44  
  شیوه‌ی پیاده‌سازی لیست پیوندی دو طرفه در کرنل
"10:33  
  نوشتن کد برای پیاده‌سازی لیست پیوندی دو طرفه به شیوه‌ی کرنل
"20:37  
  مفهوم Containing Record و دسترسی به struct در لیست پیوندی
"12:21  
  بررسی لیست پیوندی به کمک dt در WinDbg
"05:36  
  بررسی لیست پروسه‌ها به کمک ActiveProcessLinks در کرنل
"09:08  
  پیاده‌سازی TokenStealing در WinDbg برای افزایش دسترسی پروسه
"20:20  
  تغییر لیست پروسه‌ها برای مخفی کردن پروسه‌ به کمک WinDbg
"21:13  
  طرز کار PatchGuard
"02:50  
  شرح پروسه‌های Protected
"19:05  
  پیاده‌سازی TokenStealing با WinAPI
"14:25  
  معرفی ساختار ETHREAD در کرنل ویندوز
"12:31  
  جزئیات Thread Stack
"01:58  
  پروژه فصل پنجم (الزامی)
 100%    
"360:00  
Memory Management
  مروری بر مفاهیم حافظه مجازی
"06:56  
  مفهوم Virtual Page و طرز کار Thread Stack
"11:43  
  بررسی Page Guard در ابزار VMMap
"03:04  
  معرفی شمارنده‌های حافظه
"03:03  
  جزئیات حافظه‌ی مجازی
"21:50  
  شمارنده‌های حافظه در Task Manager ویندوز
"04:20  
  شمارنده‌های حافظه در ابزار Process Explorer
"05:47  
  شمارنده‌های حافظه در ابزار VMMap
"13:16  
  معرفی تابع VirtualAlloc
"10:26  
  اشتراک‌گذاری کد به کمک DLL
"07:39  
  اشتراک‌گذاری Pageها
"03:39  
  حفاظت از حافظه و تزریق کد به کمک DLL
"18:35  
  معرفی Heap Manager
"14:27  
  مثال از Heap API
"16:35  
  حافظه‌ی سیستم و Poolهای سمت کرنل
"13:16  
  پروژه فصل ششم (الزامی)
 100%    
"300:00  
Driver Development
  معرفی ماژول‌های کرنلی در ویندوز
"21:14  
  ساختار کلی درایورهای ویندوزی
"07:29  
  نوشتن کد راه‌اندازی و حذف درایور
"13:20  
  ارتباط با درایور به کمک IOCTL
"07:05  
  نوشتن کد سمت یوزر و تست درایور
"23:07  
  جزئیات پیاده‌سازی یک Rootkit
"13:08  
  دیباگ درایور – راه‌انداز درایور
"14:36  
  دیباگ درایور – کد کلاینت و ارتباط با درایور به کمک IOCTL
"19:45  
PE Details
  معرفی فایل‌های PE و ابزار مورد نیاز برای تحلیل آن‌ها
"18:54  
  مروری بر ساختار PE و موارد تعریف شده در فایل winnt.h
"08:30  
  جزئیات PE‌ و هدر DOS
"14:29  
  هدرهای NT, Optional
"12:38  
  ساختار Data Directories و هدرهای Sectionها
"06:33  
  بدست آوردن EntryPoint از روی آدرس‌های raw, Virtual
"12:02  
  بدست آوردن اسم DLLها از Directory Table
"18:41  
  بدست آوردن اسم توابع از Name Table
"13:19  
  مروری بر موارد مطرح شده
"14:17  
  کاربرد Hint در Name Table
"20:23  
  بدست آوردن آدرس توابع از Address Table
"06:04  
  نوشتن برنامه برای IAT Hooking
"21:15  
  شرح ساختار Export Directory
"26:16  
  ساختار PEB, TEB
"24:01  
  لیست پیوندی DLLهای استفاده شده و شرح LDR-Data
"12:43  
  فراخوانی پویای توابع به کمک LDR
"16:09  
  پروژه فصل هشتم (الزامی)
 100%    
"480:00  
GlobalFlags, Exceptions and Registry
  شرح کاربرد GlobalFlags و انجام یک روش Persist‌ با آن
"16:23  
  شیوه‌ی مدیریت استثنا
"10:58  
  بررسی استثنای Page Guard‌ در کد
"18:52  
  بررسی استثنای Page Gaurd‌ به کمک WinDbg
"02:19  
  توضیحی در مورد کاربرد ChatGPT برای توسعه
"05:02  
  ابزار NotMyFault‌ و تولید BSOD‌ در ویندوز
"05:33  
  مروری بر ساختار Registry
"12:02  
  پروژه فصل نهم (الزامی)
 100%    
"420:00  
Memory Forensics
  مقدمات جرم‌شناسی حافظه
"07:10  
  مروری بر انواع Dump‌حافظه
"12:38  
  مثال تحلیل Dump – پیدا کردن استثنای Null Pointer
"17:58  
  مثال تحلیل Dump – پیدا کردن خطای Heap
"09:43  
  مروری بر انواع Dump مربوط به System
"06:29  
  استخراج حافظه برای تحلیل
"06:54  
  شرح دستورات Volatility
"16:15  
  تمرین حافظه 1 – بدافزار perseus
"14:23  
  تمرین حافظه 2 – بدافزار spybot
"16:30  
  تمرین حافظه 3 – بدافزار prolaco
"11:21  
  تمرین حافظه 4 – بدافزار taidoor
"14:43  
  بررسی درایورهای کرنلی به کمک Volatility
"12:48  
  تمرین حافظه 5 – بدافزار mader
"11:20  
  پروژه فصل دهم (الزامی)
 100%    
"600:00  
Hunting Malware
  تحلیل ایستای بدافزار
"20:03  
  اجرا کردن و تحلیل پویای بدافزار
"23:38  
  بررسی بدافزار در حافظه
"10:32  
  تحلیل و Forensic‌ به کمک ابزار MemProcFS
"18:24  
  پروژه فصل یازدهم (الزامی)
 100%    
"600:00  
  پروژه‌های اختیاری
"02:10  

ویژگی‌های دوره

گواهی‌نامه مکتب‌خونه
گواهی‌نامه مکتب‌خونه

در صورت قبولی در دوره، گواهی نامه رسمی پایان دوره توسط مکتب‌خونه به اسم شما صادر شده و در اختیار شما قرار می گیرد.

مشاهده نمونه گواهینامه

ویژگی‌های دوره

خدمات منتورینگ
خدمات منتورینگ

خدمات منتورینگ به معنای برخورداری دانشجو از راهنما یا پشتیبان علمی در طول گذراندن دوره می‌باشد. این خدمات شامل پاسخگویی به سوالات آموزشی(در قالب تیکتینگ)، تصحیح آزمون یا پروژه های دوره و ارائه باز خورد موثر به دانشجو می‌باشد.

ویژگی‌های دوره

پروژه محور
پروژه محور

این دوره طوری طراحی شده است که محتوای آموزشی دوره حول چند پروژه واقعی و کاربردی هستند تا یادگیری دانشجو در طول دوره به کاربردهای عملی تبدیل شود و به این ترتیب بالاترین سطح یادگیری را فراهم نمایند.

ویژگی‌های دوره

تالار گفتگو
تالار گفتگو

شما می توانید از طریق تالار گفتگو با دیگر دانشجویان دوره در ارتباط باشید، شبکه روابط حرفه ای خود را تقویت کنید یا سوالات مرتبط با دوره خود را از دیگر دانشجویان بپرسید.

ویژگی‌های دوره

تسهیل استخدام
تسهیل استخدام

در صورت قبولی در دوره، شما می‌توانید با وارد کردن اطلاعات آن در بخش دوره‌های آموزشی رزومه‌ساز «جاب ویژن»، تایید مهارت خود را در قالب اضافه شدن «مدال مهارت» به روزمه آنلاین خود دریافت نمایید. این مدال علاوه بر ایجاد تمایز در نمایش رزومه شما، باعث بالاتر قرار گرفتن آن در لیست انبوه رزومه‌های ارسالی به کارفرما شده و بدین ترتیب شانس شما را برای استخدام در سازمانهای موفق و پر متقاضی افزایش می‌دهد.

بررسی فرصت‌های شغلی

درباره دوره

درک دقیق Internals سیستم‌های عامل‌، و به طور مشخص ویندوز، برای محققان امنیت، تحلیل‌گران بدافزار، تیم‌های قرمز و آبی و توسعه‌دهندگان نرم‌افزار امری حیاتی است. دانش بیشتر درباره OS می‌تواند به بهبود کارآیی و امنیت سیستمی که این افراد در آن کار می‌کنند مفید باشد. برای محققان امنیت و تحلیل‌گران بدافزار، فهم Internals سیستم‌‌های عامل‌ می‌تواند برای شناسایی و تحلیل بدافزارها و تهدیدات امنیتی، و همچنین توسعه و اجرای اقدامات امنیتی موثر برای محافظت در برابر آنها، ارزشمند باشد.

تیم های قرمز و آبی نیز نیاز به شناخت عمیق از OS دارند تا بتوانند درک دقیقی از سیستم های هدف خود پیدا کنند. تیم های قرمز معمولا به دنبال یافتن نقاط ضعف در سیستم های هدف هستند. با داشتن شناخت بیشتر در مورد سیستم عامل، آنها می توانند به راحتی نقاط ضعف را پیدا کرده و از آسیب پذیری‌های موجود استفاده کنند. از طرفی، تیم های آبی معمولا به دنبال جلوگیری از حملات هستند. با داشتن شناخت بیشتر در مورد سیستم‌های عامل، آنها می توانند بهترین روش‌ها و راهکارهای مقابله با حملات را پیدا کنند.

از طرف دیگر ترکیب کردن مفاهیم بخش‌های مختلف سیستم‌عامل و بررسی کردن ساختارهایی که درحافظه دارند می‌تواند به فرآیند کشف‌بدافزار و انجام Forensic در زمان حمله کمک کند که امری حیاتی است. 

این دوره با هدف کنار هم قرار دادن مباحث عمیق سیستم‌عامل و ترکیب آن با برنامه‌نویسی و تحلیل حافظه منبع خوبی برای محققان امنیت در حوزه‌های مختلف بوده و موارد زیر را پوشش می‌دهد:

  • آشنایی با ساختارهای Internal ویندوز و طرز کار آن‌ها
  • شیوه‌ی استفاده از مباحث Internal ویندوز در تیم‌های آبی و قرمز
  • بررسی موارد مشکوک در ویندوز و استفاده از آن برای  Malware Hunting
  • دلیل بروز استثنا در برنامه‌ها و پیدا کردن Bug 
  • آشنایی با مباحث از طریق نمایش کد برای درک عمیق موضوع
  • پایه‌ریزی تحلیل حافظه و Memory Forensics

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم سیستم‌عامل ویندوز
  • آشنایی ابتدایی با زبان برنامه‌نویسی C یا C++
  • آشنایی با مفاهیم امنیت سایبری

درباره استاد

maktabkhooneh-teacher ابوالفضل کاظمی

ابوالفضل کاظمی فارغ‌التحصیل کارشناسی ارشد نرم‌افزار از دانشگاه علم و صنعت است. از دوران دبیرستان علاقه به مباحث شبکه، برنامه‌نویسی و تدریس در این زمینه داشته و از همان دوران فعالیت خود را با یادگیری و آموزش زبان ویژوال بیسیک شروع کرد. از سال ۸۷ به تدریس حرفه‌ای پرداخته و از سال 90 مشغول فعالیت در زمینه‌ی برنامه‌نویسی و امنیت است. برای ارتباط و اطلاع از فعالیت حرفه‌ای ایشان می‌توانید به لینکدین ایشان در آدرس زیر مراجعه کنید: Abolfazl Kazemi's Linkedin Profile

مشاهده پروفایل و دوره‌‌های استاد

نظرات کاربران  ( نظر)

صفحه 1 از
سیدسجاد احمدی‌دزفولی 1402-11-30
دانشجوی دوره
سلام من به تازگی فیلم دریافت اطلاعات thread context رو از فصل معماری ویندوز دیدم. واقعا دارم از این دوره لذت میبرم. دست آقای ابوالفضل کاظمی درد نکنه، دست مکتبخونه هم درد نکنه. فقط یک نکته: ای کاش مکتبخونه محدودیت زمانی این دوره رو بیشتر کنند برای امتحاناتش و دریافت مدرکش، چون خیلی ها شاغل هستند و فرصت مطالعه محدود دارند. نکته دیگه برای دوستانی که میخواند این دوره رو ثبت نام کنند باید بگم که یک پیشزمینه لازمه که متوجه بشید استاد دقیقا چی داره میگم. دوره سنگینه و مطالبش سطح بالاست، البته به بهترین شکل داره مطرح میشه اما با این حال سطح بالاست و نیاز به یه مقدار پیش زمینه داره. متشکرم
محمد رضا ناصری 1402-11-28
دانشجوی دوره
فوق العادست

دوره‌های پیشنهادی

سوالات پرتکرار

آیا در صورت خرید دوره، گواهی نامه آن به من تعلق می گیرد؟
خیر؛ شما با خرید دوره می توانید در آن دوره شرکت کنید و به محتوای آن دسترسی خواهید داشت. در صورتی که در زمان تعیین شده دوره را با نمره قبولی بگذرانید، گواهی نامه دوره به نام شما صادر خواهد شد.

سوالات پرتکرار

حداقل و حداکثر زمانی که می توانم یک دوره را بگذرانم چقدر است؟
برای گذراندن دوره حداقل زمانی وجود ندارد و شما می توانید در هر زمانی که مایل هستید فعالیت های مربوطه را انجام دهید. برای هر دوره یک حداکثر زمان تعیین شده است که در صفحه معرفی دوره می توانید مشاهده کنید که از زمان خرید دوره توسط شما تنها در آن مدت شما از ویژگی های تصحیح پروژه ها توسط پشتیبان و دریافت گواهی نامه بهره مند خواهید بود.

سوالات پرتکرار

در صورت قبولی در دوره، آیا امکان دریافت نسخه فیزیکی گواهی نامه دوره را دارم؟
خیر، به دلیل مسائل زیست محیطی و کاهش قطع درختان، فقط نسخه الکترونیکی گواهی‌نامه در اختیار شما قرار می‌گیرد

سوالات پرتکرار

پس از سپری شدن زمان دوره، به محتوای دوره دسترسی خواهم داشت؟
بله؛ پس از سپری شدن مدت زمان دوره شما به محتوای دوره دسترسی خواهید داشت و می توانید از ویدئوها، تمارین، پروژه و دیگر محتوای دوره در صورت وجود استفاده کنید ولی امکان تصحیح تمارین توسط پشتیبان و دریافت گواهی نامه برای شما وجود نخواهد داشت.
poster
  
برگزار کننده:  مکتب‌خونه
  
زمان مورد نیاز برای گذارندن دوره:  92 ساعت
مجموع محتوای آموزشی:  29 ساعت ویدئو - 63 ساعت تمرین و پروژه
 (قابل دانلود می‌باشد)
مهلت دوره:  13 هفته
  
حد نصاب قبولی در دوره:  70 نمره
فارغ‌التحصیل شدن در این دوره نیاز به ارسال تمرین‌ها و پروژه‌های الزامی دارد. 
organization-pic  گواهینامه این دوره توسط مکتب‌خونه ارائه می‌شود.
course-feature   گواهی‌نامه مکتب‌خونه course-feature   خدمات منتورینگ course-feature   پروژه محور course-feature   تالار گفتگو course-feature   تسهیل استخدام