سوف اكتب بعض النصائح الي تساعد في عمل تحليل memory forensics. اثناء عمل اي تحليل سواء للذاكرة او اي تحليل اخر يجب معرفه ماهو السلوك الطبيعي والمتوقع حتى يمكن معرفه السلوك الطبيعي malicious activity.

في موضوع تحليل الذاكرة اكثر شي يهم وهو العمليات الي تعمل في النظام

مهم جدا ان يتم دراسة وفهم العمليات الاساسية الي يحتاجها وندوز كجزء اساسي من النظام، كخطوه اولى هذه مقالة توضح هذه العمليات والغرض منها

https://t.co/osvbyWLVyD

ممكن ايضا سانس بوستر hunt evil فيه معلومات وسرد لهذه العمليات

يجب ان تعرف المعلومات التاليه ولو تسجلها للخطوات الجايه

اسم العمليه

الاب للعمليه parent process

المسار للملف binary image path

المستخدم

واذا فيك نشاط كمان شويه loaded dlls

ولكن لا تكتفي بهذه العمليات فقط، حاول تنزل اكثر من نسخه وندوز مثل وندوز سيرفر ، ووندوز desktop وكذلك نسخه لاصدارات مختلفه بدايه وندوز سبعه وانتهاء باخر اصدار

قم بمعرفه business environment وسجل كل البرامج الي في هذه البيئه وكذلك ادرس العمليات والمعلومات الي تخصها كذلك الاتصالات الي تخرج ومنها وحاول تعمل ملف بسيط تكتب فيه هذه العمليات ويكون مرجع لك