ما در آیتی هلو از شهریور ۱۴۰۲ کارمون رو با عشق به کتاب و یادگیری شروع کردیم. تخصص ما چاپ کتابهای تخصصی به زبان اصلیه و با استفاده از تکنولوژیهای روز و مواد اولیه باکیفیت، مطمئن میشیم که هر کتاب از نظر ظاهر و محتوا در بهترین سطح قرار بگیره.
هدفمون اینه که دسترسی به منابع علمی و آموزشی معتبر رو برای همه سادهتر کنیم و در این مسیر، همراه و همکار خوبی برای شما باشیم.
The Definitive Guide to Defeating Endpoint Detection Systems
در چشمانداز کنونی امنیت سایبری، تقریباً هر سازمان بزرگی از یک عامل تشخیص و پاسخ در نقاط پایانی (EDR) برای نظارت بر دستگاههای شبکه خود استفاده میکند. با این حال، استفاده از این ابزارها به معنای درک عمیق نحوه عملکرد آنها توسط مدافعان امنیتی نیست. کتاب "عبور از EDR" اثر مت هند، با رویکردی جسورانه و تحلیلی، این جعبه سیاه جادویی را باز کرده و به کالبدشکافی نرمافزارهای امنیتی میپردازد که روی سیستمهای مایکروسافت اجرا میشوند.
این کتاب چاپی به شما ثابت میکند که EDR یک موجودیت شکستناپذیر نیست، بلکه یک اپلیکیشن پیچیده است که از چند جزء مشخص و قابل درک تشکیل شده است. نویسنده با بهرهگیری از سالها تجربه خود به عنوان اپراتور تیم قرمز (Red Team)، به شما میآموزد که چگونه یک گام جلوتر از مهاجمان حرکت کنید یا در نقش یک نفوذگر کلاه سفید، از سد این لایههای حفاظتی عبور کنید.
بسیاری از متخصصان IT تصور میکنند EDR تنها با اسکن فایلها کار میکند، اما واقعیت بسیار پیچیدهتر است. این کتاب با بررسی "معماری EDR" (EDR-Chitecture) آغاز میشود و نشان میدهد که این سیستمها چگونه ریشههای خود را در عمق سیستمعامل ویندوز میدوانند. شما در این اثر چاپی با جزئیات فنی نحوه جمعآوری دادهها از نقاط مختلف سیستمعامل آشنا میشوید.
نویسنده به بررسی دقیق اجزای حسگر میپردازد و توضیح میدهد که هر کدام چه هدفی دارند و چگونه پیادهسازی میشوند. مفاهیم کلیدی که در این بخش به آنها مسلط خواهید شد عبارتند از:
هوک کردن توابع (Function Hooking): نحوه تزریق DLLها برای نظارت بر فراخوانیهای سیستمی.
اعلانهای ایجاد فرآیند و رشته: چگونگی رصد شدن تولد هر پردازش جدید در ویندوز.
درایورهای فیلتر شبکه و فایلسیستم: نحوه نظارت EDR بر هر بایت دادهای که روی دیسک نوشته شده یا از شبکه عبور میکند.
این کتاب تنها به تئوری بسنده نمیکند. هر فصل علاوه بر توضیح نحوه تشخیص، استراتژیهای مستند شده برای دور زدن و bypass کردن EDR را نیز فاش میکند. این بخش برای متخصصان تیم قرمز که درگیر پروژههای نفوذ هستند، حکمی حیاتی دارد.
ویندوز ابزارهای داخلی قدرتمندی دارد که EDRها از آنها سوءاستفاده میکنند. این کتاب به شما میآموزد که چگونه با این ابزارها تعامل داشته باشید یا آنها را کور کنید:
Event Tracing for Windows (ETW): درک عمیق از منبع اصلی دادههای امنیتی در ویندوز.
Antimalware Scan Interface (AMSI): نحوه دور زدن رابطی که اسکریپتهای مخرب را در حافظه شناسایی میکند.
Threat Intelligence (TI) Microsoft-Windows: آشنایی با لایههای مخفی ویندوز که به طور اختصاصی برای کمک به آنتیویروسها طراحی شدهاند.
کلمات کلیدی:محتوای کتاب در ۱۳ فصل تخصصی و کاربردی تدوین شده است که تمام ابعاد یک سامانه EDR مدرن را پوشش میدهد.
در این بخش، بر روی نحوه تعامل EDR با هسته ویندوز تمرکز میشود. شما با درایورهای مینیفیلتر فایلسیستم آشنا میشوید که وظیفه نظارت بر تغییرات فایلها را دارند. همچنین، نحوه ثبت رویدادهای مربوط به رجیستری و بارگذاری تصاویر (Image Load) به طور کامل تشریح میشود تا بدانید EDR چگونه متوجه اجرای کد در حافظه میشود.
کتاب به سراغ لایههای حفاظتی میرود که در زمان اجرا (Runtime) فعالیت میکنند. بررسی درایورهای ضدبدافزار زود-اجرا (ELAM) و نحوه عملکرد اسکنرهای حافظه به شما دیدی وسیع درباره دشواریهای اجرای بدافزار در سیستمهای مدرن میدهد. نویسنده توضیح میدهد که چگونه این اسکنرها امضاهای رفتاری را شناسایی میکنند.
نقطه اوج کتاب، فصل سیزدهم است که به "مطالعه موردی: حملهای با آگاهی از تشخیص" میپردازد. در این بخش، تمامی تکنیکهای آموخته شده در قالب یک سناریوی واقعی ترکیب میشوند. شما یاد میگیرید که چگونه یک حمله را به گونهای طراحی کنید که علیرغم وجود فعالترین سامانههای EDR، هیچ ردی از خود به جای نگذارد.
این اثر چاپی فراتر از یک راهنمای فنی، یک تغییر پارادایم در تفکر امنیتی است:
با درک اینکه EDR یک نرمافزار با دسترسیهای مشخص است، یاد میگیرید که محدودیتهای آن کجاست. شما میآموزید که کجای سیستمعامل "نقطه کور" EDR محسوب میشود و چگونه میتوانید فعالیتهای خود را در آن مناطق انجام دهید.
تمرکز مطلق کتاب بر روی سیستمعامل ویندوز باعث شده است تا جزئیاتی در آن مطرح شود که در هیچ منبع عمومی دیگری یافت نمیشود. بررسی دقیق ساختارهای داخلی ویندوز که توسط EDRها به کار گرفته میشوند، این کتاب را به یک مرجع مهندسی معکوس نیز تبدیل کرده است.
این منبع تخصصی برای حرفهایهایی که در خط مقدم دفاع و حمله سایبری هستند، ضروری است:
اپراتورهای تیم قرمز (Red Team): برای توسعه تکنیکهای عبور و شبیهسازی حملات پیشرفته.
تحلیلگران تیم آبی (Blue Team) و مدافعان: برای درک محدودیتهای ابزارهای خود و پوشش شکافهای امنیتی.
مهندسان امنیت و محققان بدافزار: جهت درک نحوه تعامل بدافزارهای مدرن با سیستمهای تشخیص نفوذ.
دانشجویان ارشد امنیت سایبری: که به دنبال درک عمیق از معماری امنیتی ویندوز هستند.
با مطالعه این کتاب، شما دیگر به EDR به عنوان یک سد نفوذناپذیر نگاه نخواهید کرد، بلکه آن را حریفی میبینید که با شناخت دقیق نقاط ضعفش، میتوان بر آن غلبه کرد.
نمونه چاپ کتاب موجود نیست.
نظرات کاربران