О курсе
Существует секретное оружие, способное изменить ход любого криминалистического расследования или реагирования на инцидент, и это — анализ вредоносного кода. Профессия Malware Analyst становится все более популярной в связи с тем, что дает возможность получить ценную информацию о поведении и методах работы злоумышленников. Это в конечном счете помогает криминалистам реагировать на взлом и более эффективно предотвращать атаки.
Анализ вредоносного ПО — это один из аспектов более широкой практики обратной разработки, которая является ключом к раскрытию тактик, техник и процедур (TTP), которые злоумышленники стараются тщательно скрывать.
Как и все курсы F.A.С.С.T., курс «Анализ вредоносного ПО» включает практические упражнения, основанные на реальных случаях, с которыми работала команда F.A.С.С.T..
Ключевые темы:
- Теория анализа вредоносного кода
- PE-формат исполняемых файлов и Windows API
- Методы, используемые вредоносным ПО
- Язык ассемблера для анализа вредоносных программ
- Чтение исполняемого кода и WinAPI
- Введение в динамический анализ
- Анализ вредоносного кода с помощью песочниц
- Обезвреживание вредоносного кода на виртуальных машинах
- Отладка и ее роль в анализе вредоносного кода
- Введение в статический анализ
- Реверс-инжиниринг
- Работа с IDA Pro
После окончания курса вы сможете:
- Понимать технологии вредоносных программ
- Проводить детонацию вредоносных файлов в контролируемом окружении
- Выполнять реверс-инжиниринг вредоносных программ с помощью отладчика и IDA Pro
- Проводить статический и динамический анализ вредоносного объекта
Для кого этот курс?
- Специалисты по реагированию на инциденты ИБ
- Специалисты по компьютерной криминалистике
- Аналитики SOC/CERT
Навыки для успешного прохождения курса:
- Базовые навыки программирования
- Базовые знания об архитектуре Windows
- Понимание того, как осуществляются кибератаки
Программа курса
Анализ вредоносных программ — важный навык для многих специалистов информационной безопасности, но что скрывается за этими таинственными словами? Какие знания необходимы для начала карьеры аналитика вредоносных программ? Насколько глубокое знание языка ассемблера требуется? Что такое PE-файлы и как работает Windows API? Ответы на все эти вопросы даются в ходе первой части курса.
Вторая часть знакомит участников с динамическим анализом кода. Мы обсудим, какие данные можно получить из песочницы и как анализировать общедоступные отчеты песочницы. Затем участники погружаются глубже и создают свои собственные виртуальные среды для динамического анализа. Инструкторы объяснят, какие инструменты и методы полезны в этом процессе, как найти методы защиты от виртуальных машин, используемые вредоносными программами, и как их преодолеть.
Последняя тема, затронутая в этой части, — дебаггинг. Участникам рассказывают, в каких ситуациях нужно использовать дебаггеры, как с ними работать, как сбрасывать полезную нагрузку и восстанавливать импортированные функции Windows API для дальнейшего анализа.
Третья часть начинается со знакомства с инструментами статического анализа и их основными функциями. Участникам показывают, как анализировать вредоносный код с помощью языка ассемблера и как работать с дизассемблером IDA Pro. После этого перейдем к анализу самых популярных типов вредоносных вложений. Последний шаг — знакомство с типичными скриптовыми движками и их использование для анализа и деобфускации вредоносных скриптов.