دوره Sans 526 (فارنزیک مموری)

معرفی دوره فارنزیک مموری

بدافزارها می‌توانند پنهان شوند، اما حتماً باید شناسایی شوند. متخصصان فارنزیک دیجیتال و پاسخ به حادثه (DFIR)، به آموزش فارنزیک حافظه ویندوز نیاز دارند تا بتوانند مهارت‌های خود را تکمیل کنند. محتوای RAM، درست به اندازه فرایندهایی که توسط کدهای مخرب اجرا می‌شوند، اطلاعات فعالیت‌های کاربر را در خود ذخیره می‌کند. شواهدی که در فارنزیک حافظه به دست می‌آیند، معمولاً مدارکی هستند که اثبات می‌کنند چه اتفاقی بر روی سیستم رخ داده است.
دوره Sans 526، مهارت‌های مهم و لازم برای انجام تریاژ حافظه سیستم و آنالیز تصاویر ضبط شده مموری را در اختیار محققان فارنزیک و اعضای تیم پاسخ‌دهی به حادثه قرار می‌دهد. در این دوره، از موثرترین نرم‌افزارهای رایگان و ابزارهای منبع باز (Open Source) صنعت امروزی استفاده شده و نحوه کار با این ابزارها به طور کامل آموزش داده می‌شود. FOR526 یک دوره مهم برای محققان DFIR است که می‌خواهند با جرایم رایانه‌ای پیشرفته مقابله کنند.
در موارد فارنزیک امروزی، شناخت ساختارهای مموری، درست به اندازه شناخت ساختارهای دیسک و رجیستری اهمیت دارد. داشتن دانش عمیق در رابطه با حافظه‌های داخلی ویندوز، به محققان اجازه می‌دهد تا با توجه به نیاز، به اطلاعات مشخصی دسترسی پیدا کنند. اگر روی پلتفرم‌های دیگری به جز ویندوز تحقیق انجام می‌دهید، خبر خوب این است که این دوره با استفاده از تمرینات عملی، تحلیل و بازیابی فارنزیک حافظه‌های OSX و Linux را نیز مورد بررسی قرار می‌دهد.

همیشه یک جنگ تسلیحاتی بین تحلیلگران و مهاجمان برقرار است. بدافزارهای مدرن و ماژول‌های اکسپلویت، از تکنیک‌های دفاعی استفاده می‌کنند. این تکنیک‌ها شامل ‌روت‌کیت‌های پیچیده‌تر و مکانیسم‌های تحلیل ضد-مموری می‌شود که دیتای فرّار را خراب می‌کنند. محققان باید دانش عمیق‌تری در رابطه با حافظه‌های داخلی داشته باشند تا بتوانند قصد و نیت مهاجمان را تشخیص دهند و یا خرابکاران داخلی یک شرکت را شناسایی کنند. دوره آموزشی Sans 526 از بهترین مدرسان این زمینه کمک می‌گیرد تا متخصصان DFIR را در زمینه بازیابی، اعتبارسنجی و تحلیل مموری در دنیای واقعی راهنمایی کنند.

content-photos/31/226/content_photo_6Wt4hB91u4p5dEwA.jpg

سرفصل‌های دوره Sans 526

Foundations in Memory Analysis and Acquisition
Unstructured Analysis and Process Exploration
Investigating the User via Memory Artifacts
Internal Memory Structures
Memory Analysis on Platforms Other than Windows
Memory Analysis Challenges

پیشنیاز دوره SANS 526

شرکت‌کنندگان با گذراندن دوره Sans FOR408 می‌توانند بهره بیشتری از این دوره ببرند.

content-photos/31/222/content_photo_Z5Jqxe0qOlBWdznd.jpg

توانایی‌های فرد بعد از گذراندن این دوره

در پایان دوره Sans FOR526، مهارت‌های زیر را به دست خواهید آورد:

بازیابی حافظه: تفسیر تصاویر ضبط‌شده حافظه برای اطمینان از ادغام اطلاعات و غلبه‌بر موانع بازیابی و ضدبازیابی
نحوه پیدا کردن خرابکاری‌ها در مموری: شناسایی فرایندهای پنهان، مخرب و تزریق‌شده، روت‌کیت‌های سطح هسته، هایجکینگ DLL و فرایندهای پیچیده مداوم
تکنیک‌های موثر و قدم به قدم تحلیل مموری: استفاده از زمان‌بندی فرایند، آنالیز سطح بالا و پایین و VAD برای شناسایی رفتارهای غیرعادی

چه کسانی به این دوره نیاز دارند؟

اعضای تیم پاسخگویی به حادثه
تحلیلگران باتجربه فارنزیک دیجیتال
اعضای تیم سرخ، افرادی که تست‌نفوذ انجام می‌دهند و توسعه‌دهندگان اکسپلویت
کارآگاهان و ماموران قانون
کسانی که دوره‌های SEC504 و FOR508 را گذرانده‌اند.
محققان فارنزیک