DFIR Roadmap (Digital Forensics & Incident Response)
المرحلة 1: مقدمة وفهم المجال
الهدف: تبني الأساس النظري والفكري بتاع التحليل الجنائي والاستجابة للحوادث.
تتعلم إيه:
-
الفرق بين Forensics وIncident Response
-
مراحل الاستجابة: التحضير – الاكتشاف – الاحتواء – الاسترجاع – الدروس
-
الأدلة الرقمية وأنواعها
-
قانونيًا: Chain of Custody – Admissibility
-
أنواع الحوادث (Phishing – Ransomware – Insider Threats)
الكورسات:
-
Digital Forensics Fundamentals | Alexis Ahmed – TCM Security -
Introduction to DFIR | John Hammond -
مقدمة في التحليل الجنائي الرقمي | قناة Egypt Cyber Security
المدة المقترحة:
🕒 من 10 إلى 12 يوم
التطبيق: لخص كل مرحلة في جدول + ارسم دورة حياة Incident
نصيحة: المرحلة دي هتخليك تفهم "ليه بتحلل" مش بس "إزاي".
المرحلة 2: Windows Forensics
الهدف: تفتش في ويندوز زي المحقق وتفهم الأدلة في الملفات والـ Logs
تتعلم:
-
Event Logs
-
Registry – Prefetch – Jump Lists – Shimcache
-
PowerShell Logs – SRUM – WMI
-
Timeline Analysis
الأدوات:
-
Event Viewer
-
Registry Explorer
-
Autopsy
-
KAPE
-
Plaso (Log2Timeline)
الكورسات:
-
Windows Forensics | TCM Security -
Windows Forensics: Basics | 13Cubed -
TryHackMe – Windows Incident Response
المدة:
🕒 من 14 إلى 16 يوم
التطبيق: حل Windows forensic rooms على TryHackMe
نصيحة: خليك شكاك، كل ملف وراه قصة.
المرحلة 3: Memory Forensics
الهدف: تحليل الـ RAM عشان تطلع منها malware و evidence خفي
تتعلم:
-
أخذ لقطة RAM (Memory Dump)
-
تحليل العمليات – الاتصالات – DLLs – Handles
-
Detecting Injected Code
-
Indicators of Compromise in Memory
الأدوات:
-
Volatility3
-
Rekall
-
DumpIt
-
WinPMEM
الكورسات:
-
Memory Forensics with Volatility | 13Cubed -
Volatility Full Course | Josh Madakor -
TryHackMe – Memory Forensics
المدة:
🕒 من 12 إلى 15 يوم
التطبيق: خد RAM dump من لاب وهمي، وحلله بالأدوات
نصيحة: اللي في الميموري بيكشفك، ما تخليش حاجة تفوتك.
المرحلة 4: Network Forensics
الهدف: تفتش في الشبكة وتعرف اللي حصل منها (PCAP Analysis)
تتعلم:
-
تحليل حزم DNS – HTTP – SMB – FTP
-
استخراج ملفات من الـ PCAP
-
تتبع جلسات – كشف الـ C2 servers
-
تحليل Traffic مشفر وغير مشفر
الأدوات:
-
Wireshark
-
Tshark
-
NetworkMiner
-
Zeek
-
Suricata
الكورسات:
-
Wireshark for DFIR | John Hammond -
Network Forensics | Malware Traffic Analysis -
TryHackMe – Packet Analysis / PCAP
المدة:
من 12 إلى 14 يوم
التطبيق: اشتغل على ملفات malware-traffic-analysis.net
نصيحة: أي Traffic ممكن يكون فيه مهاجم، شوف مين بيتكلم مع مين وازاي.
المرحلة 5: Incident Response عملي
الهدف: تعرف تدير حادثة سيبرانية من A to Z كأنك في SOC حقيقي
تتعلم:
-
IR Lifecycle (Detect – Contain – Eradicate – Recover – Lessons)
-
Incident Classification
-
Writing Incident Reports
-
Real Attack Scenarios (Ransomware – Phishing – Web Attacks)
الأدوات:
-
TheHive – MISP – Cortex
-
Velociraptor – GRR
-
Wazuh – SIEM
الكورسات:
-
Incident Response | IBM Cybersecurity Analyst (Coursera) -
Handling Real Incidents | SANS DFIR Webcasts -
TryHackMe – IR & SOC Rooms
المدة:
من 14 إلى 18 يوم
التطبيق: اشتغل سيناريوهات IR كاملة على CyberDefenders / TryHackMe
نصيحة: كل ثانية بتفرق في IR، خليك سريع وحاسم.
المرحلة 6: Reporting + Threat Hunting + Tools
الهدف: تبني عقلية صياد وتحترف كتابة تقارير وتحقيقات
تتعلم:
-
إزاي تكتب تقرير احترافي
-
ازاي تبني Timeline من Log Sources
-
تهنت في AD Logs – Firewall – Proxy
-
Detect Persistence – Beaconing – Living off the Land attacks
الأدوات:
-
ELK Stack
-
Velociraptor
-
KAPE
-
Timesketch
-
Splunk
الكورسات:
-
DFIR Reporting & Timeline Building | 13Cubed -
Threat Hunting & Detection | BlueTeamLabs / CyberDefenders -
TryHackMe – Threat Hunting
المدة:
🕒 من 15 إلى 20 يوم
التطبيق: حاول تحل تحديات كاملة وتكتب PDF Report كأنك شغال
نصيحة: الشغل الحقيقي هو اللي بتقدمه في التقرير مش اللي بتشوفه في الأداة.
أهم الكتب في DFIR
| 📘 الكتاب | الفايدة |
|---|---|
| The Art of Memory Forensics | المرجع الأهم في تحليل RAM |
| Windows Forensic Analysis – Harlan Carvey | تحليل ويندوز تفصيلي |
| Incident Response & Computer Forensics | يغطي كل مراحل IR |
| Digital Forensics with Kali Linux | تطبيق عملي بالأدوات المفتوحة |
| DFIR Notes – 13Cubed | ملاحظات عميقة وسهلة |
أهم المنصات للتدريب العملي
| المنصة | التفاصيل |
|---|---|
| TryHackMe | سيناريوهات DFIR جاهزة – ممتاز للمبتدئين |
| CyberDefenders | تحديات واقعية + ملفات حقيقية |
| BlueTeamLabs.online | تحليل كامل من Log لـ Report |
| Velociraptor Blog & Labs | تدريبات على أداة Velociraptor |
| Malware-Traffic-Analysis.net | ملفات PCAP للتدريب العملي |
خطة زمنية مقترحة (واقعية)
| المرحلة | عدد الأيام |
|---|---|
| 1. الأساسيات | 10 – 12 يوم |
| 2. Windows Forensics | 14 – 16 يوم |
| 3. Memory Forensics | 12 – 15 يوم |
| 4. Network Forensics | 12 – 14 يوم |
| 5. Incident Response | 14 – 18 يوم |
| 6. Tools & Reports | 15 – 20 يوم |
| 📌 الإجمالي = من 75 لـ 90 يوم = حوالي 3 شهور مكثفة |
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك لينكدان | [حسابي الشخصي] [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal |