فارنزیکی متفاوت

https://www.mailxaminer.com/blog/gmail-email-forensics

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

DevOps
Techbook
Seccode review
Clean Code Principles and Patterns: A Software Practitioner’s Handbook",
2nd Edition, 2024.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

DFIR
Tech book
Mobile Security
Practical Forensic Analysis of Artifacts on iOS and Android Devices: Investigating Complex Mobile Devices.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

MLSecOps
Tech book
Large Language Models in Cybersecurity: Threats, Exposure and Mitigation", 2024.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Tech book
IDS and IPS with Snort 3:
Get up and running with Snort 3 and discover effective solutions to your security issues", 2024.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SCADA Security
False Data Injection Attacks Against Distribution Automation Systems", 2024.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Whitepaper
Blue Team Techniques
Never Trust, Always Verify: Effectiveness of Endpoint Detection and Response Tools Versus Zero Trust Endpoint Controls in Enterprise Environments", 2024.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

MLSecOps
Tech book
"The Developer’s Playbook for Large Language Model Security: Building Secure AI Applications", 2024.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Tech book
"Machine Learning Security Principles:
Keep data, networks, users, and applications safe from prying eyes", 2022.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سفارت استرالیا تو ایران راننده استخدام میکنه.

تقریبا پیش نیازی نداره به جز زبان.
حقوقش از حدود ۱۱۰ میلیون تومان ماهانه شروع میشه.😑

لینک

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

♨️ AttackRuleMap
🔺 پروژه مپ Atomic Red Team بر روی
🔘 Splunk ESCU ( در حال تکمیل/فعلا ویندوز )
🔘 Sigma Rules

🔗 https://attackrulemap.netlify.app/

#sigma #Splunk #ESCU #BlueTeam #SOC

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔖Bug Bounty CheatSheet

🔴XSS

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴SQLi

🔘 Github: 🔗Link

🔴SSRF

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴CRLF

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴CSV-Injection

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴Command Injection

🔘 Github: 🔗Link

🔴Directory Traversal

🔘 Github: 🔗Link

🔴LFI

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴XXE

🔘 Github: 🔗Link

🔴Open-Redirect

🔘 Github: 🔗Link

🔴RCE

🔘 Github: 🔗Link

🔴Crypto

🔘 Github: 🔗Link

🔴Template Injection

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴XSLT

🔘 Github: 🔗Link

🔴Content Injection

🔘 Github: 🔗Link

🔴LDAP Injection

🔘 Github: 🔗Link

🔴NoSQL Injection

🔘 Github: 🔗Link

🔴CSRF Injection

🔘 Github: 🔗Link

🔴GraphQL Injection

🔘 Github: 🔗Link

🔴IDOR

🔘 Github: 🔗Link

🔴ISCM

🔘 Github: 🔗Link

🔴LaTex Injection

🔘 Github: 🔗Link

🔴OAuth

🔘 Github: 🔗Link

🔴XPATH Injection

🔘 Github: 🔗Link

🔴Bypass Upload Tricky

🔘 Github: 🔗Link

#pentestin #bugbounty #Tools

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هر وقت سازمانی رفت سراغ cobit و SABSA و C2M2 و امثالهم ؛ میشه انتظار داشت اون سازمان از خیلی جنبه ها بالغ شده وگرنه دراکثر سازمان‌ها فعلا تجارت ابزار و نرم افزار داریم تا استفاده از اونها.
اونوقت حتی میشه در مورد کیفیت پذیرایی از پرسنل اون سازمان تا کیفیت رول نویسی روی فایروال نظر داد

سراغ اینها رفتن شاید یه همت ملی میخواد .
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

⚠️شما شماره ملی یکی رو داشته باش
و
موبایلش
نتیجه آزمایش‌پزشکی اونو در بسیاری از آزمایشگاه‌های تهران ببین.


همین قدر زیبا
همین قدر بی امنیت و بی اهمیت !!
حریم شخصی ما


🚫پس شماره تلفنت پسوردت شده لذا اونو هرجایی نده !!
چون مسوولین رسیدگی نمیکنن این راهکار رو گفتم .


پی نوشت : در آمریکا قانون حفاظت از اسناد پزشکی تحت نام HIPAA وجود دارد .

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

آشنایی و کار با ابزار YAF

https://tools.netsa.cert.org/yaf/usecases.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزار اوسینت امروز

https://github.com/ibnaleem/gosearch

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اولین PoC سال جدید میلادی برای ویندوز

https://github.com/SafeBreach-Labs/CVE-2024-49112

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

⚠️وقتی ویندوز علیه شما دستکاری می‌شود: تعییر پروفایل پاورشل
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp

برای مثال، در یک سناریوی واقعی، هکر می‌تواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیت‌های مخرب خود جلوگیری کند. این پروفایل‌ها فایل‌های اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری می‌شوند و می‌توانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.

❇️مثال سناریوی مخرب:
هکر می‌تواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگ‌برداری یا فرمان‌های قبلی را حذف کند.

فایل‌های پروفایل پاورشِل:
پروفایل‌ها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1

👈تغییر مخرب:
هکر می‌تواند کدی مانند زیر به پروفایل اضافه کند:

powershell
پاک کردن تاریخچه فرمان‌ها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفاده‌های بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing

پنهان کردن فرمان‌ها در لاگ‌های Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue


☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف می‌شوند.
2. غیرفعال کردن ثبت دستورات: تضمین می‌کند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایل‌های لاگ: فایل‌های لاگ مرتبط با پاورشِل از سیستم حذف می‌شوند.


✅ نحوه تشخیص:
- بررسی تغییرات در فایل‌های پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیت‌های غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE

- استفاده از نرم‌افزارهای نظارتی برای جلوگیری از تغییر در فایل‌های پروفایل حساس.

🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایل‌های غیرمجاز.
2. محدود کردن دسترسی به فایل‌های پروفایل: فقط کاربران مجاز بتوانند این فایل‌ها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایل‌های پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🏮 فهم دستورات فارنزیک

در مواقعی لازم هست دستورات پاورشلی را برای اخذ اطلاعات از سیستم بزنیم. اما حتما شنیده اید که برخی برپایه CIM هستند و برخی WMI . حالا ببینیم تفاوت چیست و خودتان تمرین عملی داشته باشید :

تمرین فارنزیک برای مقایسه CIM و WMI

هدف: با استفاده از دستورات مشابه CIM و WMI اطلاعات سیستم را استخراج کنید و تفاوت در روش اجرا و خروجی را مشاهده کنید



1. دریافت اطلاعات سیستم:
- CIM:

Get-CimInstance -ClassName Win32_ComputerSystem

- WMI:

Get-WmiObject -Class Win32_ComputerSystem


2. دریافت اطلاعات سخت‌افزار (CPU):
- CIM:

Get-CimInstance -ClassName Win32_Processor

- WMI:

Get-WmiObject -Class Win32_Processor


3. دریافت فرآیندهای در حال اجرا:
- CIM:

Get-CimInstance -ClassName Win32_Process | Select-Object Name, ProcessId

- WMI:

Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId


4. بررسی وضعیت سرویس‌ها:
- CIM:

Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" }

- WMI:

Get-WmiObject -Class Win32_Service | Where-Object { $_.State -eq "Running" }


تحلیل خروجی‌ها
به نکات زیر توجه کنید
1. سرعت اجرا:
آیا یکی از دستورات سریع‌تر اجرا می‌شود؟
2. فرمت خروجی:
آیا خروجی CIM خواناتر و مدرن‌تر به نظر می‌رسد؟
3. تفاوت ساختاری:
آیا تفاوتی در عمق اطلاعات یا ساختار داده‌ها وجود دارد؟


کدام دستور برای شما راحت‌تر و سریع‌تر بود؟ چرا؟
آیا امنیت بیشتر CIM در مقایسه با WMI برای شما محسوس بود؟
فکر می‌کنید چرا مایکروسافت از CIM به جای WMI حمایت می‌کند؟

تمرین های بیشتر

1. اطلاعات کاربران سیستم
- CIM:

Get-CimInstance -ClassName Win32_UserAccount

- WMI:

Get-WmiObject -Class Win32_UserAccount


2. اطلاعات شبکه
- CIM:

Get-CimInstance -ClassName Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }

- WMI:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }


3. اطلاعات مربوط به درایورها
- CIM:

Get-CimInstance -ClassName Win32_PnPSignedDriver

- WMI:

Get-WmiObject -Class Win32_PnPSignedDriver


4. بررسی نرم‌افزارهای نصب‌شده
- CIM:

Get-CimInstance -ClassName Win32_Product

- WMI:

Get-WmiObject -Class Win32_Product


5. بررسی Event Logs
- CIM:

Get-CimInstance -ClassName Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5

- WMI:

Get-WmiObject -Class Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5


6. بررسی وضعیت سیستم عامل
- CIM:

Get-CimInstance -ClassName Win32_OperatingSystem
`
- WMI:

Get-WmiObject -Class Win32_OperatingSystem

مثال برای مقایسه امنیت بین CIM و WMI
یکی از تفاوت‌های اصلی CIM و WMI در نحوه ارتباط آن‌ها با سیستم است. برای نشان دادن این موضوع، می‌توانید از تست ارتباط امن با سرور ریموت استفاده کنید.


ارتباط با سیستم ریموت
- CIM با WSMan (پروتکل امن):

$Session = New-CimSession -ComputerName "RemoteServer" -Credential (Get-Credential)
Get-CimInstance -ClassName Win32_ComputerSystem -CimSession $Session

- WMI با DCOM (کمتر امن):

Get-WmiObject -Class Win32_ComputerSystem -ComputerName "RemoteServer" -Credential (Get-Credential)

**همیشه دلیل کارها و دستورات را بپرسید و بخوانید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

راهنمای امنیت سایبری از سازمان ASD استرالیا

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔍 Setting Up a Malware Analysis Lab: Your Ultimate Guide 🚀

💻 Step into the fascinating world of malware analysis! Creating a secure and efficient lab is critical for exploring, analyzing, and understanding malicious software without risking your primary systems. Here’s everything you need to set up your own lab:

🔧 Essential Components for a Malware Analysis Lab:

1️⃣ Isolated Virtual Environment:
• Use VMware, VirtualBox, or Hyper-V to create secure sandboxes.
• Take frequent snapshots to restore your environment quickly.

2️⃣ Diverse Operating Systems:
• Set up VMs for Windows (XP, 7, 10) and Linux distributions (Ubuntu, Kali).
• Include mobile OS emulators (Android Studio, Genymotion) for mobile malware.

3️⃣ Networking Tools:
• Simulate internet services with tools like INetSim.
• Use firewalls and private virtual networks to block outbound connections.

4️⃣ Static Analysis Tools:
• Disassemblers: IDA Pro, Ghidra, Radare2.
• Hex Editors: HxD, Bless.
• Decompiler Tools: OllyDbg, JD-GUI.

5️⃣ Dynamic Analysis Tools:
• Process Monitor (ProcMon), Process Explorer.
• Sandboxes: Cuckoo Sandbox, Any.Run.
• Network Analyzers: Wireshark, Fiddler.

6️⃣ Threat Intelligence Tools:
• YARA for custom rule creation.
• Use open-source platforms like VirusTotal, Hybrid Analysis, and Intezer.

7️⃣ Reverse Engineering Tools:
• Tools for unpacking malware (UPX, Exeinfo PE).
• Debuggers like x64dbg for in-depth analysis.

8️⃣ Log and Behavior Analysis:
• Sysmon for system activity monitoring.
• ELK stack (Elasticsearch, Logstash, Kibana) for log management.

9️⃣ Cloud-Based Labs:
• Platforms like Flare VM or REMnux for pre-configured setups.
• Use AWS or Azure with strict access controls for scalable labs.

10️⃣ Safety Practices:
• Disable shared folders and clipboard on VMs.
• Use NAT for internet access and a secure VPN for additional safety.

🛠 Bonus Tips for Malware Analysts:

✅ Keep your tools updated to detect new threats.
✅ Practice on known malware samples from trusted repositories like MalwareBazaar.
✅ Always document findings and automate repetitive tasks with noscripts.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer