إزاي تطبّق اللي ذاكرته في DFIR
1. كل مرحلة لها تطبيق عملي فوري
يعني مش تقرا وتسيبها… كل خطوة لازم تشتغل بإيدك.
أولًا: Windows Forensics
هتذاكر: Prefetch – Event Logs – Registry – Jump Lists
تطبّق إزاي؟
-
شغل جهاز Windows 10 وهمي
-
اعمل نشاطات مختلفة (مثلاً شغل ملفات، اتصفح، افتح CMD)
-
بعد كده:
-
افتح Event Viewer وشوف الـ logs
-
استخدم Registry Explorer وحلل مفاتيح الـ Run
-
حلّل prefetch باستخدام WinPrefetchView
-
شوف الملفات المفتوحة بـ Jump List Explorer
-
ثانيًا: Memory Forensics
هتذاكر: تحليل الـ RAM – العمليات – الاكتشاف – Injected Code
تطبّق إزاي؟
-
سحب RAM Dump باستخدام DumpIt أو WinPMEM
-
حلل الـ dump باستخدام Volatility 3:
-
volatility -f memory.raw windows.pslist→ العمليات -
volatility -f memory.raw windows.netscan→ الاتصالات -
volatility -f memory.raw malfind→ الكشف عن الحقن
-
-
اكتشف أي شيء غريب واعمله تقرير
ثالثًا: Network Forensics
هتذاكر: PCAP – DNS – HTTP – FTP – SMB
تطبّق إزاي؟
-
حمل ملفات PCAP من موقع:
-
افتحها بـ Wireshark
-
جرّب:
-
تتابع جلسة HTTP كاملة
-
تستخرج ملف نزل من الشبكة
-
تحلل DNS Requests لبيئة مصابة
-
رابعًا: Incident Response
هتذاكر: سيناريوهات كاملة – التعامل مع هجوم – كتابة تقارير
تطبّق إزاي؟
-
افتح روم من TryHackMe زي:
-
Windows Incident Response -
أو سيناريو من CyberDefenders
-
-
نفّذ خطوات الـ IR:
-
اكتشاف
-
احتواء
-
تحليل الأدلة
-
الاسترجاع
-
كتابة التقرير النهائي PDF
-
خامسًا: Reporting & Timeline Building
هتذاكر: كتابة تقارير – تحليل Logs – تحديد وقت الهجوم
تطبّق إزاي؟
-
لمّ كل الأدلة من الروم اللي حليته
-
استخدم أدوات زي:
-
Timesketch -
Plaso -
KAPE
-
-
ابني تايملاين للهجوم
-
اكتب تقرير PDF فيه:
-
إيه اللي حصل؟
-
حصل إمتى؟
-
المهاجم عمل إيه؟
-
التوصيات
-
منصات التطبيق العملي:
| المنصة | فايدتها |
|---|---|
| TryHackMe | كورسات Forensics كاملة + تطبيق مباشر |
| CyberDefenders | سيناريوهات واقعية جدًا بتحاكي الشركات |
| BlueTeamLabs.online | Log Analysis + تقارير شبه حقيقية |
| Malware-Traffic-Analysis.net | ملفات PCAP مصابة للتدريب |
| Velociraptor Blog & Labs | تدريب مباشر على أداة التحقيق |
أدوات التطبيق العملي:
| الأداة | الوظيفة |
|---|---|
| Volatility | تحليل RAM |
| Autopsy | تحليل أقراص وأنظمة |
| Wireshark | تحليل الشبكات |
| Registry Explorer | تحليل الريجيستري |
| FTK Imager / Guymager | أخذ نسخ جنائية |
| Timesketch | بناء Timeline للهجمات |
| KAPE | جمع الأدلة بسرعة |
| ELK / Splunk | تحليل logs وربط الأحداث |
نصايحك للتطبيق:
-
كل حاجة تتعلمها → نفذها فورًا
-
احتفظ بكل تقرير في فولدر باسمك
-
متتعاملش مع المنصات كـ ألعاب، اعتبرها شغل حقيقي
-
لما تتلغبط، دي علامة إنك بدأت تتعلم بجد
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك | [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal ] |