دانلود کتاب آموزشی GCFA (GIAC Certified Forensic Analyst) جلد دوم

بخش 6. تجزیه‌وتحلیل بدافزار

فصل 1. مفاهیم پایه تحلیل بدافزار

• تعریف بدافزار (Malware) و انواع آن (Virus، Worm، Trojan، Ransomware، Rootkit، Spyware)

• تفاوت تحلیل استاتیک (Static) و دینامیک (Dynamic)

• مراحل تحلیل بدافزار: کشف، استخراج، تحلیل، مستندسازی

فصل 2. مقدمات تحلیل استاتیک

• شناسایی ساختار فایل اجرایی (PE، ELF، Mach-O)

• بررسی Headerها، Import Table و Sections

• استخراج رشته‌ها (Strings) برای یافتن IOCها

• تشخیص استفاده از پکرها (Packers) و ابزارهای Obfuscation

• ابزارهای تحلیل استاتیک:

  • PEStudio

  • BinText

  • Die (Detect It Easy)

  • HashMyFiles برای بررسی هش‌ها و مقایسه با VirusTotal

فصل 3. تحلیل دینامیک بدافزار

• آماده‌سازی محیط ایزوله (Sandbox یا VM)

• اجرای بدافزار و پایش رفتار آن: تغییر در فایل‌ها، رجیستری، شبکه، حافظه

• ابزارهای تحلیل دینامیک:

  • Process Monitor (Procmon)

  • Process Explorer

  • Regshot برای مقایسه Registry

  • Wireshark و Fiddler برای تحلیل ارتباطات شبکه‌ای

  • Cuckoo Sandbox برای اجرای خودکار بدافزارها در محیط ایزوله

فصل 4. تحلیل شبکه‌ای رفتار بدافزار

• شناسایی دامنه‌ها و IPهای مشکوک

• بررسی ارتباطات C2 (Command and Control)

• تشخیص ارتباطات رمزگذاری‌شده، DNS Tunneling یا Data Exfiltration

• استفاده از ابزارهای:

  • NetworkMiner

  • Tshark

  • Suricata (با ruleهای خاص شناسایی بدافزار)

فصل 5. تجزیه‌وتحلیل Persistency و تکنیک‌های پنهان‌سازی

• بررسی روش‌های ماندگاری بدافزار: Registry Run keys، Scheduled Tasks، Services

• بررسی ابزارهای Hooking، Injection، DLL Hijacking

• شناسایی Process Hollowing و Code Injection

• بررسی فایل‌های AutoStart و بررسی رفتار پنهان

فصل 6. بررسی بدافزارهای رمزنگاری و فایل‌های مخرب

• تحلیل فایل‌های مشکوک Macro-enabled (.docm, .xlsm)

• بررسی فایل‌های اسکریپتی مخرب (JavaScript, PowerShell, VBS)

• تحلیل Ransomware: شناسایی الگوریتم‌های رمزنگاری، Extortion Behavior

• بررسی فایل‌های ZIP، ISO و بدافزارهای توزیع‌شده از طریق ایمیل

فصل 7. بازیابی فایل‌ها و استخراج IoC

• استخراج Indicators of Compromise شامل:

  • Hashes (MD5, SHA1, SHA256)

  • File paths

  • Registry keys

  • Domain names and IP addresses

  • Mutexes and Named Pipes

• ساخت YARA Rules برای شناسایی نمونه‌های مشابه

فصل 8. مستندسازی و گزارش تحلیل بدافزار

• ساخت گزارش فنی با جزئیات کامل از رفتار، آسیب‌ها و پیشنهادات

• مستندسازی فعالیت‌ها برای ارائه به تیم Incident Response یا قضائی

• نمونه‌سازی از سناریو برای آموزش داخلی یا گزارش‌دهی قانونی

بخش 7. تکنیک‌های تحقیق و شواهد دیجیتال

فصل 1. اصول جمع‌آوری شواهد دیجیتال

• تفاوت شواهد فعال (Volatile) و غیرفعال (Non-volatile)

• ترتیب جمع‌آوری شواهد بر اساس اولویت (Order of Volatility)

• جلوگیری از تغییر داده‌ها هنگام جمع‌آوری (Forensic Soundness)

• استفاده از Write Blockerهای سخت‌افزاری و نرم‌افزاری

فصل 2. تصویربرداری قانونی (Forensic Imaging)

• انواع Imageها: Bit-for-bit, Logical, Physical

• ابزارهای Imaging:

  • FTK Imager

  • dd / dc3dd / Guymager

  • AccessData Imager

• ذخیره‌سازی تصاویر: E01، AFF، RAW

• اعتبارسنجی تصاویر با Hash (SHA-256, MD5)

فصل 3. تحلیل فایل‌های پنهان و مخفی (Hidden Data)

• شناسایی Alternate Data Streams (ADS) در NTFS

• بررسی فایل‌های مخفی در لینوکس (. prefix files)

• استفاده از ابزارهای شناسایی فایل‌های پنهان:

  • ADS Spy

  • WinHex

• تکنیک‌های Steganography و ابزارهای شناسایی آن‌ها

فصل 4. بررسی کش‌ها، Sessionها و فایل‌های موقت

• تحلیل کش مرورگرها (Chrome, Firefox, Edge)

• تحلیل فایل‌های Temporary، Pagefile.sys، Hiberfil.sys

• بررسی Sessionهای کاربر و آثار آن‌ها

• استخراج داده‌ها از فایل‌های ذخیره‌شده LocalStorage و SessionStorage

فصل 5. تحلیل Metadata فایل‌ها و مستندات

• استفاده از ابزارهای Metadata:

  • ExifTool

  • FOCA

• تحلیل Metadata تصاویر، PDF، Word و Excel

• کشف تغییرات، تاریخ‌های دسترسی و نویسنده اصلی

فصل 6. بررسی سیستم‌های پیام‌رسان، ایمیل و مرورگر

• تحلیل فایل‌های PST/OST با ابزارهایی مثل Kernel PST Viewer

• استخراج اطلاعات از Thunderbird، Outlook، Maildir

• استخراج پیام‌ها از پیام‌رسان‌هایی مانند Skype، WhatsApp (در صورت وجود Backup یا Image)

• شناسایی اطلاعات ورود، Sessionها، و رمزهای ذخیره‌شده

فصل 7. تحلیل زمان‌بندی و Timeline ساخت شواهد

• جمع‌آوری اطلاعات MAC Times (Modified, Accessed, Created)

• ساخت Timeline با ابزارهای زیر:

  • log2timeline / Plaso

  • Autopsy Timeline Viewer

  • Sleuth Kit mactime

• همبستگی بین لاگ‌ها، فعالیت‌های کاربر و اجرای فایل‌ها

فصل 8. تکنیک‌های جستجوی پیشرفته

• استفاده از Regular Expressions در ابزارهای تحلیل

• جستجو در فایل‌های خام (RAW) و غیرساختاریافته

• ابزارهای جستجو در Imageها:

  • Bulk Extractor

  • grep, strings, hex editors

فصل 9. مدیریت شواهد و مستندسازی یافته‌ها

• تگ‌گذاری و دسته‌بندی شواهد (Evidence Tagging)

• حفظ ساختار زنجیره اصالت شواهد (Chain of Custody)

• استفاده از نرم‌افزارهای مستند سازی مانند Case Notes، Magnet Axiom

• تهیه گزارش نهایی شامل جداول، گراف‌ها، و تصاویر شواهد

بخش 8. پاسخ به حوادث و مدیریت بحران

فصل 1. مفاهیم پایه و چارچوب‌های پاسخ به حادثه

• تعریف Incident و انواع آن (Data Breach، Insider Threat، Malware Attack، DoS)

• چرخه Incident Response طبق NIST:

  • Preparation

  • Detection & Analysis

  • Containment, Eradication & Recovery

  • Post-Incident Activity

• مدل SANS PICERL و تفاوت آن با NIST

فصل 2. آماده‌سازی (Preparation)

• طراحی برنامه پاسخ به حادثه (IR Plan)

• تعریف نقش‌ها و مسئولیت‌ها (IRT، SOC، مدیریت، حقوقی، روابط عمومی)

• سیاست‌های نگهداری شواهد و حفظ زنجیره اصالت

• ابزارها و تجهیزاتی که باید آماده باشد:

  • ابزارهای Live Response

  • کیت‌های دیجیتال جرم‌شناسی (Forensic Kits)

  • اسکریپت‌های خودکارسازی برای جمع‌آوری شواهد

فصل 3. شناسایی و تحلیل حادثه (Detection & Analysis)

• منابع شناسایی اولیه: SIEM، IDS/IPS، آنتی‌ویروس، لاگ‌های سرور

• تکنیک‌های تشخیص تهدید:

  • IOC-Based Detection (Indicators of Compromise)

  • Behavioral & Heuristic Analysis

  • تحلیل شبکه و ترافیک مشکوک (PCAPs، Netflow)

• بررسی اولیه حادثه:

  • چه منابعی تحت تأثیر قرار گرفته‌اند؟

  • نوع و سطح تهدید چیست؟

  • چه مدت فعالیت در حال انجام بوده است؟

فصل 4. مهار، حذف و بازیابی (Containment, Eradication & Recovery)

• مهار اولیه و موقت (Short-term Containment):

  • قطع دسترسی شبکه

  • بلاک‌کردن IPها یا حساب‌های کاربری

• مهار بلندمدت (Long-term Containment):

  • قرنطینه‌کردن سیستم‌ها در VLANهای جداگانه

  • جداسازی سیستم‌های آلوده در محیط تست برای تحلیل بیشتر

• حذف تهدید:

  • پاک‌سازی بدافزار

  • حذف کاربران مخرب یا تغییر رمز عبورها

• بازیابی امن:

  • بازیابی از بکاپ

  • به‌روزرسانی نرم‌افزارها و وصله‌های امنیتی

  • اعتبارسنجی سلامت سیستم‌ها

فصل 5. فعالیت‌های پس از حادثه (Post-Incident Activity)

• ایجاد گزارش نهایی حادثه (Incident Summary Report)

• بررسی درس‌آموخته‌ها (Lessons Learned)

• به‌روزرسانی IR Playbook بر اساس یافته‌ها

• جلسات Postmortem با ذینفعان و تیم‌های فنی

• پیشنهاد اقدامات پیشگیرانه برای آینده

فصل 6. هماهنگی در بحران‌های گسترده

• تعامل با تیم حقوقی و بخش منابع انسانی در حملات داخلی

• نحوه ارتباط با نهادهای قانونی (CERT، پلیس فتا، دادستانی)

• اطلاع‌رسانی به مدیران و شرکای تجاری طبق سیاست افشا

• مدیریت ارتباطات رسانه‌ای و پاسخ به مطبوعات

فصل 7. ابزارها و فناوری‌های مورد استفاده در پاسخ به حادثه

• ابزارهای جمع‌آوری لاگ: Sysmon، NXLog، Winlogbeat

• SIEMهای محبوب: Splunk، Elastic SIEM، QRadar

• ابزارهای Incident Management: TheHive، RTIR، PagerDuty

• ابزارهای تحلیل حافظه و دیسک: Volatility، Autopsy، FTK

• ابزارهای شبکه: Wireshark، Moloch/Arkime، Suricata

بخش 9. مستندسازی و گزارش‌دهی قانونی

فصل 1. مقدمه‌ای بر مستندسازی شواهد دیجیتال

• اهمیت مستندسازی در جرم‌شناسی دیجیتال و نقش آن در فرآیندهای قضائی

• تفاوت میان مستندسازی فنی و حقوقی

• الزامات قانونی و استانداردهای مرتبط با مستندسازی شواهد دیجیتال

• معرفی استانداردهای Chain of Custody و نحوه حفظ آن

فصل 2. قالب‌بندی گزارش‌های جرم‌شناسی دیجیتال

• ساختار گزارش‌های جرم‌شناسی دیجیتال:

  • Executive Summary

  • Technical Analysis

  • Conclusion & Recommendations

• نحوه ارائه شواهد به‌طور واضح و دقیق برای مخاطبان مختلف (قاضی، وکیل، کارشناس)

• انتخاب اطلاعات مهم و ضروری برای گنجاندن در گزارش‌ها

• فرمت‌ها و نرم‌افزارهای گزارش‌دهی (مثل PDF، Word، Excel)

فصل 3. اجزای گزارش جرم‌شناسی دیجیتال

• Executive Summary:

  • خلاصه‌سازی یافته‌ها به‌صورت غیر فنی برای افراد غیر متخصص

  • اهمیت شفاف‌سازی نتایج

• Technical Analysis:

  • جزئیات دقیق درباره ابزارهای استفاده‌شده

  • فرآیند جمع‌آوری شواهد و تحلیل‌ها

  • زمان‌بندی و مراحل انجام تحلیل

• Conclusion:

  • نتیجه‌گیری بر اساس داده‌های تجزیه و تحلیل

  • شواهد کلیدی که می‌توانند در رسیدگی قضائی موثر باشند

• Recommendations:

  • پیشنهادات برای اقدامات بعدی (از جمله اقدامات امنیتی و پیشگیرانه)

فصل 4. حفظ زنجیره اصالت شواهد (Chain of Custody)

• تعریف و اهمیت Chain of Custody در گزارش‌های قانونی

• مستندسازی دقیق جابجایی شواهد

• فرم‌های استاندارد برای ثبت هر مرحله از انتقال شواهد

• شواهد فیزیکی و دیجیتال و نحوه مستندسازی آنها

• نگهداری شواهد و جلوگیری از تغییرات در آن‌ها

• استفاده از نرم‌افزارهای اختصاصی برای مدیریت Chain of Custody

فصل 5. چگونگی تحلیل و مستندسازی لاگ‌ها

• مستندسازی لاگ‌های سیستم، سرور و شبکه

• تبدیل داده‌های خام به اطلاعات قابل‌استفاده

• نحوه گزارش‌دهی به‌صورت شفاف و قابل‌درک برای دادگاه

• استخراج دقیق زمان‌ها (Time Stamps) و ارزیابی صحت آنها

• تحلیل لاگ‌های مرتبط با بدافزارها و حملات امنیتی

فصل 6. آماده‌سازی برای ارائه شواهد در محاکم قضائی

• نحوه آماده‌سازی برای شهادت به‌عنوان کارشناس قانونی

• گزارش‌دهی در قالب‌های قابل‌قبول در دادگاه

• اجزای مستندات برای ارائه به دادگاه (گزارش‌های کتبی و شفاهی)

• چگونگی ارزیابی و اثبات صحت شواهد

• تفاوت‌های فرهنگی و حقوقی در پذیرش شواهد دیجیتال در کشورهای مختلف

فصل 7. ارائه شواهد به مقامات قانونی و قضائی

• همکاری با وکلا و مقامات قضائی در فرآیند جمع‌آوری و ارائه شواهد

• فرآیند ارائه شواهد دیجیتال در دادگاه

• نحوه مستندسازی شواهد برای ارزیابی مقامات مختلف

• ارائه گزارش‌های دقیق برای تفسیر به قاضی و هیئت منصفه

• ارزیابی صحت شواهد دیجیتال با توجه به جزئیات جمع‌آوری‌شده

فصل 8. معرفی و استفاده از نرم‌افزارهای گزارش‌دهی جرم‌شناسی

• بررسی نرم‌افزارهای مختلف برای مستندسازی شواهد

• نرم‌افزارهای تجزیه و تحلیل جرم‌شناسی دیجیتال (EnCase، FTK)

• ابزارهای گزارش‌دهی و مستندسازی (مثل X1 Social Discovery, Case Notes)

• مزایا و معایب هر ابزار برای استفاده در گزارش‌های قانونی

• تحلیل و استخراج شواهد از ابزارهای ذخیره‌سازی و شبکه

فصل 9. نکات کلیدی در مستندسازی و گزارش‌دهی قانونی

• حفظ دقت و صحت در تمام مراحل مستندسازی

• شفاف‌سازی و جلوگیری از ایجاد ابهام در گزارش‌ها

• ثبت دقیق جزئیات بدون هرگونه تحریف یا کم‌وکاسته

• رعایت استانداردهای بین‌المللی و محلی برای پذیرش شواهد در دادگاه

• استفاده از گواهی‌نامه‌های قانونی و تأیید صحت مستندات

بخش 10. ابزارهای جرم‌شناسی قانونی دیجیتال

فصل 1. ابزارهای تصویربرداری دیسک

• FTK Imager:

  • تصویربرداری دقیق از دیسک‌های سخت، دستگاه‌های ذخیره‌سازی USB و حافظه‌های فلش

  • استخراج داده‌ها بدون تغییر در سیستم فایل و ساختار دیسک

  • توانایی تجزیه‌وتحلیل فایل‌های ایمیج به‌صورت واقعی و فشرده

• dd (Linux/Unix):

  • ابزار خط فرمان برای کپی‌کردن دقیق دیسک‌ها

  • استفاده در سیستم‌های لینوکس و یونیکس

  • ایجاد تصویر از دیسک یا پارتیشن برای تحلیل‌های بعدی

• Guymager:

  • ابزار تصویربرداری دیسک برای سیستم‌های لینوکس

  • قابلیت ذخیره تصاویر به فرمت‌های مختلف مانند E01، AFF و Raw

  • رابط کاربری ساده و شفاف

فصل 2. ابزارهای تجزیه‌وتحلیل دیسک و فایل سیستم

• Autopsy:

  • رابط گرافیکی برای تحلیل تصاویر دیسک

  • جستجو و تحلیل داده‌های مرتبط با فعالیت‌های کاربری، فایل‌های مخفی و مسیرهای ذخیره‌شده

  • استفاده از پلاگین‌های مختلف برای تحلیل شواهد (مانند داده‌های اینترنتی، ایمیل‌ها، پیام‌ها)

• Sleuth Kit:

  • مجموعه ابزارهای خط فرمان برای تحلیل فایل‌های سیستم

  • تحلیل فایل‌های سیستم فایل‌های مختلف (FAT, NTFS, ext3)

  • بررسی ساختار MFT، فعالیت‌های اخیر کاربران، و شواهد موجود در فایل‌های سیستمی

• EnCase:

  • ابزار قدرتمند و حرفه‌ای برای تحلیل شواهد دیجیتال

  • تصویر‌برداری و جستجو در دیسک‌های سخت، حافظه‌های فلش و دستگاه‌های مختلف

  • استفاده در پرونده‌های حقوقی و ارایه شواهد به‌طور معتبر در دادگاه

فصل 3. ابزارهای تحلیل حافظه (RAM)

• Volatility:

  • ابزار تحلیل حافظه برای شناسایی شواهد مخفی در RAM

  • قابلیت استخراج اطلاعات از Dumps حافظه، مانند فرآیندهای در حال اجرا، اتصالات شبکه و داده‌های کد شده

  • شناسایی بدافزارهای در حال اجرا در حافظه

• Rekall:

  • ابزار تحلیل حافظه مشابه با Volatility

  • جمع‌آوری اطلاعات از حافظه‌های فرآیندهای در حال اجرا و تحلیل آنها

  • استخراج اطلاعات از حافظه سیستم‌های ویندوز، لینوکس و OS X

فصل 4. ابزارهای تحلیل شبکه

• Wireshark:

  • ابزار تحلیل ترافیک شبکه و بسته‌های داده

  • بررسی شبکه‌های محلی، اینترنت و داده‌های ارسالی/دریافتی

  • تحلیل دقیق پروتکل‌ها و شناسایی فعالیت‌های مشکوک

• NetworkMiner:

  • ابزار تحلیل و تجزیه‌وتحلیل ترافیک شبکه

  • استخراج اطلاعات مربوط به دستگاه‌های متصل، فایل‌ها، تصاویر و پیام‌های شبکه

  • ارائه یک دید کلی از ترافیک عبوری و شناسایی حملات

فصل 5. ابزارهای جرم‌شناسی مرتبط با مرورگر و وب

• X1 Social Discovery:

  • ابزار تحلیل داده‌ها از شبکه‌های اجتماعی و سایت‌های وب

  • استخراج اطلاعات از صفحات وب، پیام‌ها، و تصاویر در شبکه‌های اجتماعی

  • جستجو و فیلتر کردن داده‌های موجود در رسانه‌های اجتماعی

• Browser History Examiner:

  • ابزار بررسی تاریخچه مرورگرهای وب

  • شناسایی صفحات وب بازدید شده، دانلودها و فعالیت‌های آنلاین

  • بازیابی و تجزیه‌وتحلیل داده‌های مرورگر برای شواهد جرم‌شناسی

فصل 6. ابزارهای جرم‌شناسی موبایل

• Cellebrite UFED:

  • ابزار تخصصی برای استخراج و تحلیل داده‌ها از دستگاه‌های موبایل

  • پشتیبانی از گوشی‌های هوشمند، تبلت‌ها و دستگاه‌های قابل حمل

  • توانایی بازیابی اطلاعات از حافظه داخلی، کارت SD و حساب‌های ابری

• Magnet AXIOM:

  • ابزار بررسی موبایل، شبکه‌های اجتماعی و کامپیوترها

  • استخراج شواهد از دستگاه‌های موبایل، سیستم‌های ابری و شبکه‌های اجتماعی

  • جستجوی اطلاعات مخفی و تحلیل وضعیت امنیتی سیستم

فصل 7. ابزارهای تجزیه‌وتحلیل ایمیل

• Emailchemy:

  • ابزار تجزیه‌وتحلیل و تبدیل فرمت‌های ایمیل به یک فرمت استاندارد

  • بررسی پیام‌های ایمیل، فایل‌های ضمیمه و فراداده‌های مربوط به ایمیل‌ها

  • امکان جستجو و استخراج اطلاعات از ایمیل‌ها به‌صورت دقیق و معتبر

• X1 Search:

  • ابزار جستجو در ایمیل‌ها، فایل‌ها و سیستم‌های ذخیره‌سازی

  • امکان تجزیه‌وتحلیل و فیلتر کردن ایمیل‌ها بر اساس معیارهای مختلف

  • استخراج اطلاعات از تاریخچه‌های ایمیل، فایل‌های پیوست و پیام‌های فوری

فصل 8. ابزارهای استخراج داده از پلتفرم‌های ابری

• AWS CloudTrail:

  • ابزار ردیابی و تحلیل فعالیت‌ها در سرویس‌های AWS

  • شناسایی رفتار غیرمجاز در منابع ابری و تجزیه‌وتحلیل API Calls

  • استخراج شواهد مربوط به تغییرات در محیط‌های ابری

• Azure Security Center:

  • ابزار مدیریت امنیت و نظارت بر منابع ابری در Azure

  • شناسایی تهدیدات و نقاط ضعف در پیکربندی سرویس‌های ابری

  • امکان انجام تجزیه‌وتحلیل و جستجو در داده‌های ذخیره‌شده

فصل 9. ابزارهای بررسی و تحلیل فایل‌های پنهان

• FTK (Forensic Toolkit):

  • ابزار برای بررسی فایل‌های پنهان و حذف‌شده

  • شناسایی داده‌های مخفی و ذخیره‌شده در فایل‌های NTFS

  • استخراج فراداده و تحلیل انواع فایل‌های پنهان

هدف دوره:

دوره GCFA به شما کمک می‌کند تا توانایی‌های خود را در زمینه تحلیل جرم‌شناسی قانونی دیجیتال و پاسخ به حوادث ارتقا دهید و به‌عنوان یک متخصص توانمند در حوزه امنیت سایبری شناخته شوید. این دوره به شما مهارت‌های لازم برای شناسایی، تحلیل، و جمع‌آوری شواهد دیجیتال به‌طور صحیح و قانونی را می‌آموزد و در نهایت شما را برای دریافت گواهینامه GCFA آماده می‌کند.