یکی از گرایش های کاربردی علم فارنزیک تجزیه و تحلیل و مهندسی معکوس بدافزار می باشد این گرایش به افراد توانایی مهندسی معکوس بدافزارهایی را که در طول تحقیق بر روی یک پرونده یا موضوع خاص پیدا شده است را می دهد .
براینکه افراد بتوانند متخصص تجزیه و تحلیل بد افزار شوند باید در زمینه شبکه ، برنامه نویسی ، آشنایی با حملات مختلف و فارنزیک اطلاعات داشته باشند که در این مقاله به بررسی این پیش نیاز ها و مراحل تبدیل شدن به یک متخصص تجزیه و تحلیل بد افزار می پردازیم
نقشه راه تجزیه و تحلیل بد افزار
# پیش نیاز ها قبل شروع
1. شبکه
داشتن تسلط کافی به پروتکل هایی رایجی مانند :HTTP , FTP , SMTP , SMB , WS و نحوه عملکرد آن ها درون شبکه . معمولا بد افزار از این پروتکل ها به عنوان بستر انتقال استفاده میکنند و افراد باید با نحوه ارسال و دریافت اطلاعات توسط این پروتکل آشنا باشند . برای مثال WebSocket چگونه کار میکنه ….
2. برنامه نویسی
آشنایی به زبان اسمبلی و معماری کامپیوتر به عنوان پیش نیاز دیگری می باشد که به افراد کمک میکند تا بد افزار را در لایه های نزدیک تر به سخت افزار بررسی نمایند برای آشنایی بیشتر با زبان اسمبلی افراد میتوانند از لینک زیر استفاده نمایند :
https://www.tutorialspoint.com/assembly_programming/index.htm
آشنایی با دستورات شرطی در اسمبلی از مباحثی می باشد که افراد باید حتما به آن تسلط داشته باشند
آشنایی با زبان C از پیش نیاز های دیگر تجزیه و تحلیل بد افزار می باشد این آشنایی باید در حد نوشتن چندین برنامه مختلف در زمینه ارتباط شبکه و ارسال و دریافت اطلاعات در شبکه باشد
# مرحله اول : داشتن دانش تست نفوذ
# مرحله دوم : اشراف کامل به مباحث فارنزیک
با توجه به اینکه بد افزار ها از طریق شبکه انتقال و بر روی سیستم عامل اجرا و سپس دسترسی خود دایمی میکنند افرادی که میخواهند تجزیه و تحلیل بد افزار انجام دهند باید در لایه های شبکه ، سیستم عامل و حافظه موقت بتوانند فارنزیک انجام دهند و برای بدست آوردن ای دانش فارنزیک شما میتوانید دوره های فارنزیک شبکه ، دوره ویندوز فارنزیک ، دوره مموری فارنزیک را بگذرانید
# مرحله سوم: تازه میتونیم شروع کنیم –> تجزیه و تحلیل بدافزار
پس از اشراف کامل به پیش نیاز ها افراد میتوانند برای مرحله بعد با مطالعه کتاب زیر که یکی از بهتربن کتاب ها در این حوزه می باشد شروع کنند
https://www.amazon.com/Practical-Malware-Analysis-Hands-Dissecting/dp/1593272901
# مرحله چهارم : دوره تجزیه و تحلیل بدافزار
پس مطالعه کتاب بالا و تمرین کردن موارد ذکر شده حداقل به مدت 40 ساعت شما میتوانید دوره تخصصی تجزیه و تحلیل بدافزار موسسه نورانت را که بر اساس سرفصل های موسسه SANS می باشد بگذرانید با توجه به سنگین بودن دوره به همه افراد توصیه میشود پیش نیاز ها را گذرانده و کتاب practical malware Analysis را به صورت کامل مطالعه کرده و در آخر این دوره را بگذرانند
اطلاعات بیشتر درباره دوره تجزیه و تحلیل بدافزار موسسه نورانت به لینک زیر مراجعه نمایید
# مرحله پنجم : حل پرونده های واقعی
پس از اتمام دوره و با توجه به توانایی هایی که افراد کسب کرده اند باید در موقعیت های مختلف و پرونده های واقعی را تجزیه و تحلیل کنند و در این راستا موسسه نورانت 20 پرونده واقعی به همراه فایل اصلی بد افزار و شواهد و مدارک مورد نیاز را به دانشجویان ارایه میدهد با بتوانند مهارت خود را در این بخش افزایش بدهند