Pokročilá analýza malware a reverse engineering

Toto jednodenní školení navazuje na kurz Analýza malware a rozšiřuje v něm probíraná témata o problematiku hlubší dynamické a statické analýzy/reverse engineeringu kompilovaného kódu pro operační systémy Windows a o návrh a vývoj signatur pro detekci škodlivého kódu na úrovni sítě i koncových bodů.

Kurz je vysoce prakticky koncipovaný a účastníci si v průběhu něj vyzkouší řadu různých nástrojů a postupů pro analýzu různých typů kompilovaného kódu, shellkódu a EXE souborů.


Obsah

  1. Struktura a funkce PE souborů
  2. Úvod do x86/x64 assembly
  3. Debuggery, disassemblery, dekompilátory a další nástroje pro analýzu kompilovaného kódu
    • Ghidra
    • IDA Pro
  4. Vhodné postupy a techniky pro analýzu různých typů PE souborů a kompilovaného kódu
    • Kompilovaný kód vs. mezikód a rozdíly v jejich analýze
    • Rozdíly v kódu vytvořeném v různých jazycích
    • Základy statické analýzy a reverzního inženýrství PE souborů
    • Postupy a techniky pro analýzu shellkódu
  5. Výstupy z analýzy a práce s nimi
    • Doporučení pro reporting
    • Extrakce IoC a TTP
    • Tvorba YARA pravidel a dalších detekčních signatur

Školení je určeno zejména pro

  • Seniorní analytiky bezpečnostních dohledových center (SOC)
  • Členy týmů pro zvládání kybernetických bezpečnostních incidentů (CSIRT)
  • Juniorní analytika malware
  • Ty, kteří se chtějí hlouběji seznámit s problematikou analýzy malware

Doporučené vstupní znalosti

  • Znalosti v rozsahu kurzu Analýza malware
  • Zkušenosti s programováním v C/C++
  • Předchozí zkušenosti s x86/x64 assembly jsou výhodou, avšak nejsou nezbytné

Dodatečné požadavky

Pro účast v kurzu je nezbytný vlastní laptop s hypervisorem umožňujícím provádět tzv. “snapshoty” virtuálních strojů, schopný alokovat minimálně 2 vCPU, 8 GB RAM a 100 GB úložného prostoru virtuálnímu stroji, který bude v rámci školení využíván. Virtuální stroj s operačním systémem Windows 10 je nezbytné samostatně připravit před začátkem kurzu dle zaslaných instrukcí.

Materiály

Účastníci obdrží elektronickou verzi studijních materiálů.

Délka trvání

1 den

Aktuálně vypsané termíny

Školení nabízíme výhradně pro uzavřené skupiny a to buď v kombinaci se školením Analýza malware, jako dvoudenní kurz, nebo samostatně, jako jednodenní kurz. Pokud máte zájem o uzavřený běh školení pro vaši organizaci, neváhejte nás kontaktovat.