سوف اكتب بعض النصائح الي تساعد في عمل تحليل memory forensics. اثناء عمل اي تحليل سواء للذاكرة او اي تحليل اخر يجب معرفه ماهو السلوك الطبيعي والمتوقع حتى يمكن معرفه السلوك الطبيعي malicious activity.
في موضوع تحليل الذاكرة اكثر شي يهم وهو العمليات الي تعمل في النظام
مهم جدا ان يتم دراسة وفهم العمليات الاساسية الي يحتاجها وندوز كجزء اساسي من النظام، كخطوه اولى هذه مقالة توضح هذه العمليات والغرض منها
https://t.co/osvbyWLVyD
ممكن ايضا سانس بوستر hunt evil فيه معلومات وسرد لهذه العمليات
يجب ان تعرف المعلومات التاليه ولو تسجلها للخطوات الجايه
اسم العمليه
الاب للعمليه parent process
المسار للملف binary image path
المستخدم
واذا فيك نشاط كمان شويه loaded dlls
ولكن لا تكتفي بهذه العمليات فقط، حاول تنزل اكثر من نسخه وندوز مثل وندوز سيرفر ، ووندوز desktop وكذلك نسخه لاصدارات مختلفه بدايه وندوز سبعه وانتهاء باخر اصدار
قم بمعرفه business environment وسجل كل البرامج الي في هذه البيئه وكذلك ادرس العمليات والمعلومات الي تخصها كذلك الاتصالات الي تخرج ومنها وحاول تعمل ملف بسيط تكتب فيه هذه العمليات ويكون مرجع لك
