فيه بلوقن اسمه malfind موجود على اداة volatility ووظيفته يكتشف اذا فيه malware عن طريق ال Memory Pages
طيب وش هي Memory Pages ؟
الmemory ينقسم الى Pages، وكل وحده لها صلاحيات محدده، مثل:
R (Read-Only) → قابله للقراءه فقط.
RW (Read-Write) → تخزن البيانات القابله للتعديل مثل المتغيرات والمصفوفات.
RX (Read-Execute) → فيها الاكواد التنفيذيه لكنها غير قابله للتعديل.
RWX (Read-Write-Execute) → هذي اخطر وحده لانها تسمح بكتابة وتنفيذ الكود بنفس الPage، وتستخدم غالبًا في Shellcode Injection.
طيب الحين كيف يشتغل الـ malfind؟
يبحث عن الـ Pages اللي صلاحياتها RWX داخل الProcesses ويعرض تفاصيلها مثل Memory address، الـ Hex Dump، و Disassembly واللي عليك تتاكد اذا محقون فيه Shellcode ولا لا.
بلوقن الـ malfind يستخدم اكثر من طريقه لاكتشاف الmalwares بس هذي ��كثر وحده interesting صراحه.
نزلت سادس درس في الفورنسك (6)🕵🏻♂️
تكلمت فيه عن:
1️⃣ وش هي سجلات الاحداث Event Log
2️⃣ كيف نحلل الEvent Log بشكل يدوي
3️⃣ كيف نحلل الEvent Log باداة Chainsaw
مشاهدة ممتعة! 🌟👇
https://t.co/dy5rOi4tx7
نزلت خامس درس في الفونسك (5)🕵🏻♂️
تكلمت فيه عن:
1️⃣ وش فايدة الPrefetch بشكل عام
2️⃣ وش فايدة الPrefetch للـ DFIR
3️⃣ كيف نحلل الpf files
مشاهدة ممتعة! 🌟👇
https://t.co/GMQ4t3wAnP
وش الفرق بين الـDisk Image والـTriage؟
🔹 Disk Image:
•نسخه كامله من الـ(Disk) تشمل كل شي.
•ميزته مناسب اذا كنت بتسوي تحليل عميق
•عيبه بيطول وقت الـImage لساعااات
•عندك اداة FTK Imager تاخذ منها الـImage
🔹 Triage:
•نسخه من أدله محددة فقط
مثل الـ(Browser)،(Event Logs)، وادلّه الأخرى.
•ميزته سريع لأنك بتسحب أدله معينه فقط.
•عيبه ممكن تنسى تسحب ادلّه مهمه.
•عندك اداة Kape تاخذ منها الـTriage
نزلت رآبع درس في الفونسك (4)🕵🏻♂️
تكلمت فيه عن:
1️⃣ تحليل ادلّة المتصفحات ومساراتها
2️⃣ تحليل الCache Folder
3️⃣ تحليل الHistory
4️⃣ تحليل الLogin Data
مشاهدة ممتعة! 🌟👇
https://t.co/AhWDbWmfO3
نزلت ثآلث درس في الفونسك (3)🕵🏻♂️
تكلمت فيه عن:
1️⃣ ليه نحتاج الهاردسك فورنسك
2️⃣ كيف ناخذ Image للهاردسك
3️⃣ كيف نتصفح الImage من خلال الFTK
مشاهدة ممتعة! 🌟👇
https://t.co/ALfzAbtmXL
شرح ملف Hiberfil.sys
م��ل ما نعرف ان الرام يخزن بيانات مؤقته، طيب ليه الجهاز اذا دخل في وضع السبات (Hibernate) وشغلناه مرة ثانية، نلقى كل شي رجع مثل ما كان؟
مع أن وضع السبات يطفي الجهاز بالكامل !
هنا يجي دور ملف Hiberfil.sys
قبل ما يدخل الجهاز في وضع السبات، يقوم النظام وياخذ نسخة كاملة من بيانات الرام ويحفظها في الملف Hiberfil.sys
وأول ما يشتغل الجهاز من وضع السبات، يرجع النظام ويحمل البيانات المحفوظة من الملف ويحطها في الرام.
وش اهمية الملف في التحقيق الجنائي الرقمي؟
أحيانًا نحتاج نعرف محتويات الرام لكن الجهاز يكون طافي وما نقدر نوصل للرام او تكون بيانات الرام راحت
هنا Hiberfil.sys ممكن يكون مفي�� لأنه حافظ لنا بيانات الرام يوم كان في وضع السبات.
فـ إذا حصلنا الملف في المسار: C:\hiberfil.sys
نقدر نحلله باستخدام ادوات مثل الVolatility
وبس الله يعطيكم العافية 🌷
نزلت ثآني درس في الفونسك (2)🕵🏻♂️
تكلمت فيه عن:
1️⃣ الفرق بين الPID والPPID
2️⃣ كيف نكتشف الMacro behavior
3️⃣ كيف نسوي Dump File ونحلله
مشاهدة ممتعة! 🌟👇
https://t.co/JohtpceUW6
نزلت أول درس في الفونسك (1)🕵🏻♂️
تكلمت فيه عن:
1️⃣ وش هو الميموري ووش يحتوي عليه��
2️⃣ الفرق بين الميموري والهاردسك.
3️⃣ كيف تسحب نسخة من الميموري.
4️⃣ كيف تحلل النسخة اللي سحبتها.
مشاهدة ممتعة! 🌟👇
https://t.co/HBpsfT8fuP