- بواسطة x32x01 ||
دي شوية rules لو انت شخص بيدرس "Malware Analysis "self study
ال rules هرتبها من الحاجات البسيطه للحاجات الأعلى بالترتيب ..1- مينفعش تدرس malware analysis وانت مش فاهم ال internals بتاع ال platform الي انت شغال عليها
2- بالنسبة بقا لكتاب practical malware analysis والأسئلة الكتير .. هو مرجع كويس لو انت لسا مبتدأ في المجال وبياخدك لمستوى عالي بالتدريج - ولكن الكتاب دا مش هو نهاية المطاف - لان في techniques كتير ظهرت من بعده دا غير انه مش شارح حاجه خاصة بال ransomware و kernel rootkits لان وقت ما الكتاب ظهر الانواع دي ماكانتش منتشرة جدا .. وفي كتب كتير ظهرت من بعده ومقالات وأبحاث و blogs و courses لازم تدور وتبص عليها
3- مش هقول انك لازم تكون حد professional في assembly وبتقدر تكتب بيها ولكن على الأقل في البداية تكون بتقدر تقرأ assembly لل platform الي انت شغال عليها وتكون قادر تفهم ال execution flow الي انت بتقرأ فيه دا ايه هو الغرض منه و ايه هو "الناتج" ودا طبعا الي بيحدده مهاراتك في reverse engineering + على الاقل تكون بتفهم في H.L.L واحده زي C++ مثلا ويا سلام بقا لو بتقدر تكتب ب script language زي python
4- في platforms تانيه غير IA-32 و IA-32/64 فياريت نبص على ال malware الي بتصيب platforms زي ARM , MIPS وياريت ناخد بالنا ان في حاجه اسمها IOT وصدقني لما اقلك لتاني مرة انك محتاج تفهم platforms زي ARM , MIPS وتشوف ال malware الي تمت صناعتها مخصوص علشان تكون هدف محدد لل IOT علشان اغلب ال infrastructure لاي مؤسسة كبيرة او دولة لا تخلوا من IOT وهتفهم قيمة كلامي دا لما تنزل السوق واكيد لو انت اشتغلت فشوفت دا
5- مش كل ال malware الي موجوده في الدنيا هي wannacry !!
6- حاول انك تبص على APT الي تم اكتشافها في خلال السنين الي فاتت لحد الوقت الي انا بكتب في ال الموضوع دا
7- مش معنى انك شاطر في reverse engineering انك هتكون حد خرافي في malware analysis
8- بلاش اسألة زي ايه الاحسن IDA pro ولا Ghidra لان دول في النهاية مجرد ادوات بيتم توظيفها بمقدار المعرفة الي عندك فلو انت شاطر هتقدر انك تشتغل باي حاجه !
9- "النقطه رقم 8 دي اختياريه يعني ممكن تعملها لو حابب وممكن متعملهاش لو مش حابب" : صدقني لما تحاول انك تكتب malware بايدك من البداية مهما كان نوعه هتتعلم حاجات كتير جدا جدا "جدا" وهتشوف حاجات انت مكنتش تعرف عنها حاجه ودا هيخليك فاهم كويس ال process الي ال malware المنتشرة ماشية بيها وهتعطيك قدرة اكبر وانت بتعمل analysis وهتبقى عارف تركز على ايه وتسيب ايه وايه هو المهم ايه هو الي مشمهم وانت بتعمل analysis
10- يا ريت انك متعديش يوم بدون ما تعمل analysis ل malware حتى لو بسيط او تطور من مهاراتك في reverse وتحل ليك challenge او اتنين
11 - مش معنى انك عملت analysis ل malware مشهور زي wannacry مثلا او حاجه اصعب منه انك كدا خلاص من ال 1% الي كل الشركات بتحلم انها تاخدك .. ايوة انت عملت انجاز جميل جدا بس اوعى توهم نفسك بيه انه النهاية فيكون سبب في تأخرك وتكاسلك وتقول انا كدا خلاص معدش فيه حاجه نقصاني ومعدش فيه حاجه اتعلمها .. انت لما تنزل سوق العمل هتتحط في cases هتحس فيها انك لأول مرة تشتغل malware analysis
12- ارجوك فيه حاجه اسمها kernel debugging هتحتاجها جدا وانت بتتعامل مع ال rootkits و bootkits حتى في ال malware البسيطة هتسهل عليك الشغل فمتخليش كل شغلك في منطقة ال user space مع الادوات الي زي olly , x-32 , immunity ايوة دول مهمين جدا جدا بس صدقني لما تتعلم kernel debugging الموضوع هيبقى قدامك اسهل وهتتعلم حاجات جديده مكنتش تعرف عنها حاجه
13- لما تكون رايح مكان جديد علشان تشتغل حاول انك تعرفهم انت عندك ايه مش موجود عند التيم الي عندهم فلما تكون كمثال يعني انت حد رايح وبتقدر انك ت analysis لل IA , ARM , MIPS حتى لو انت قوي في واحد فيهم وفي البقاي مستواك متوسط صدقني دي هتكون point جميلة ليك "دا مجرد مثال "
14- لما تكون مش فاهم حاجه اجتهد فيها واتعب لحد ما تفهمها .. ودايما بيكون لكل وقت اذان "بمعنى ان في حاجات هتتفهم في وقتها لما يجيلك "
15- زكاة العلم نشره لو اتعلمت حاجه انت شايف انها صعبه شويه حاول انك تشاركها حتى لو مش كلها واوعى تبخل على حد بشغل او معلومة وافتكر ان محدش بياخد رزق حد وان ربنا سبحانه وتعالى قال "وفي السماء رزقكم وما توعدون " وقال "وان ليس للانسان الا ماسعى" وقال "ولسوف يعطيك ربك فترضى" ..