Malware analízis
Kezdés:
március 06. hétfő
Reggel 9 óra
Hossz:
5 nap
Az egyes alkalamak
Ár:
249 000 Ft+áfa
ingyenes!
A Malware (malicious software) a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok, férgek (worm); a kémprogramok (spyware); agresszív reklámprogramok (adware) és a rootkit-ek. Ezeket különféle módokon álcázzák (pdf, doc, kép, stb). A számítógépes kártevő programok mennyisége folyamatosan növekszik és időről időre új típusok terjednek el. Ezeket a rosszindulatú programokat analizáljuk a tanfolyamon. Az oktatás során visszafejtjük a malware működésének főbb részeit, hogy rájöjjünk, mit akar csinálni az alkalmazás. Ehhez meg kell ismerkedni a különböző csomagolási technikákkal ("packing"), különböző analíziseket végzünk (statikus, dinamikus).
Oktató
Zsíros Péter

Vezető oktató, hálózatbiztonsági szakértő
 

Témakörök
1. Bevezetés az assemblybe: static, load (compile) time dynamic linking, és runtime dynamic linking módban fordított alkalmazások közötti különbség

Megismerkedünk az Assembly-vel olyan szinten, hogy értsük, mi történik egy alkalmazás futása során. Azonosítani tudjuk az elágazási pontokat és a programkód futását más irányba tudjuk terelni. A példaalkalmazások megpatchelésére saját debugger scripteket írunk, különböző gyakori debuggerekhez, pl. ollyDBG, immunitydebugger, stb.

2017. március 6., hétfő 09:00
2. Malwarek statikus és dinamikus analízise

Statikus analízis során megtanuljuk, hogyan lehet a kód futtatása nélkül következtetéseket levonni arról, hogy mit akar csinálni az alkalmazás, hogyan lehet azonosítani a packerek jelenlétét? Dinamikus analízis során megvizsgáljuk, hogy milyen módosításokat hajtanak végre példaalkalmazások a számítógépen, ezeket hogy lehet azonosítani és figyelni. Megismerkedünk a példaalkalmazásokon keresztül néhány gyakori automatikus indítási módszerrel, amit malware-k is használnak.

2017. március 7., kedd 09:00
3. Packerek használata, packelt kódok visszafejtésének a kísérlete

Megvizsgáljuk, hogy milyen gyakran használt packerek vannak, ezeket hogyan tudjuk azonosítani. Kipróbálunk különböző automata toolokat a packelt alkalmazások kibontására, illetve megnézzük, hogy egy ismeretlen packert kézzel milyen módszerekkel próbálhatunk meg kibontani. A kibontáshoz mindig egyszerű debugger scripteket is írunk.

2017. március 8., szerda 09:00
4. User módú rootkit (IAT hooking) példa

Megismerkedünk a rootkitekkel, egyszerű példaként elkészítünk egy saját import address táblát használó rootkitet, amelyik elrejt egy alkönyvtárat a command prompt-ból. Egy valódi rootkittel elrejtünk alkalmazást a taskmanagerből, majd memóriadumpot készítünk, amit később analizálni fogunk, hogy megtaláljuk a rejtett processt.

2017. március 9., csütörtök 09:00
5. Javascript, pdf és vbs analízis alapok

Megvizsgáljuk, hogy hogyan próbálnak malware-k weboldalra rejtőzködni, pl. JavaScriptben, illetve hogyan szoktak malware-eket továbbítani pl. PDF-ben. Ennek során megismerkedünk a PDF felépítésével és hogyan lehet analizálni a benne lévő tartalmakat, kiszedni belőle a gyanús kódokat majd azokat analizálni.

2017. március 10., péntek 09:00
6. Antidebugging technikák és azok megkerülése

Megismerkedünk olyan technikákkal, ahol a Malware-k megpróbálják elkerülni az analízist (antidebugging) és megnézzük, hogy az ilyen védelemmel ellátott alkalamzásokat hogyan lehet analizálni (anti-antidebugging). A különböző megismert technikákhoz mindig debugger scriptet is készítünk az aktuálisan használt debuggerben, hogy ne kelljen kézzel végrehajtani őket minden egyes alkalommal.

2017. március 10., péntek 09:00
7. Valói malware analízise

Megvizsgáljuk, hogy az eddig tanult technikákat hogyan tudjuk egy valódi malware-nél alkalmazni, hogyan tudjuk kibontani a packer-jét.

2017. március 10., péntek 09:00
8. Kernel módú rootkit (DKOM kézzel)

Megismerkedünk a Kernel módú rootkitek családjával, példaként debuggert használva kézzel elrejtünk egy alkalmazást (direct kernel object modfication). Erről az állapotról memóriadump-ot készítünk, melyet a későbbiekben analizálni fogunk hogy megtaláljuk az elrejtett alkalmazást.

2017. március 10., péntek 09:00
9. Volatility használata

A korábbiakban elkészített memóriadumpokat volatility framework segítségével analizáljuk, megpróbáljuk megtalálni az elrejtett tartalmat.

2017. március 10., péntek 09:00
10. Zeusszal fertőzött gép memória image-ének analízise volatilityval

Zeusszal fertőzött számítógépek memóriadumpjait analizáljuk. Megrpóbáljuk megállapítani, hogyan kerrült be a malware a számítógépre, milyen nyomokat hagyott és mik történtek a hatására.

2017. március 10., péntek 09:00
Technikai információk
Részletes technikai információkat csak a képzés hallgatói nézhetik meg bejelentkezés után!
Malware analízis tanfolyami videók
statikus-dinamikus analizis, patching01, patching02
146 perc
2016. szeptember 05.
statikus-dinamikus analizis patching03
98 perc
2016. szeptember 05.
dinamikus analizis patching04
94 perc
2016. szeptember 05.
brancehk patching01, 02, 03 eleje
111 perc
2016. október 17.
patching03, 04 windbg script eleje
64 perc
2016. október 17.
autorun2 (autoruns, capturebat, process monitor, api monitor)
75 perc
2016. szeptember 05.
autorun3 (autorun, capturebat, regshot, procmon, api monitor)
53 perc
2016. szeptember 05.
isDebuggerPresent, CheckRemoteDebuggerPresent
96 perc
2016. szeptember 05.
ntGlobalFlags
35 perc
2016. szeptember 05.
statikus analizis bevezetes
110 perc
2016. október 17.
autorun1, autorun2
90 perc
2016. október 17.
antidebugging IsDebuggerPresent bypass
47 perc
2016. október 17.
CheckRemoteDebuggerPresent, autorun3
122 perc
2016. október 17.
NtGlobalFlags
53 perc
2016. október 17.
autorun4, ntQueryInformationProcess ollyval
116 perc
2016. október 17.
ntqueryinformationprocess, gettickcount, autrun5, tls callback
110 perc
2016. október 17.
ntQueryInformationProcess
64 perc
2016. szeptember 05.
ntQueryInformationProcess vege, TLS callback
60 perc
2016. szeptember 05.
packerek
79 perc
2016. szeptember 05.
kezi unpackeles debuggerrel
67 perc
2016. szeptember 05.
malware dinamikus analizis, remnux, inetsim
75 perc
2016. szeptember 05.
packerek, upx, script upx-hez,
111 perc
2016. október 17.
fsg packer, loadlibrarz, getProcAddress figyeles, chapter3-01
58 perc
2016. október 17.
chapter3 lab 01, 02
104 perc
2016. október 17.
xpsp2, bintext, namedpipe detect, virtualbox
121 perc
2016. október 17.
Autorun1 (autoruns, capturebat, resgshot, process monitor)
66 perc
2016. szeptember 05.
lab03-01, lab03-02
73 perc
2016. szeptember 05.
DKOM, Volatility bevezeto
57 perc
2016. szeptember 05.
volatility, xpsp2.exe eleje
69 perc
2016. szeptember 05.
xpsp2 folytatas, bintext eleje
70 perc
2016. szeptember 05.
bintext.exe folytatas, rep.exe
79 perc
2016. szeptember 05.
bintext vege, PDF 1-7 peldak
67 perc
2016. szeptember 05.
pdf 8-11
52 perc
2016. szeptember 05.
pdf 13-20, javascript 1
62 perc
2016. szeptember 05.
javascriptek folytatas
70 perc
2016. szeptember 05.
javascriptek, vbscript, plussz 2 pdf
68 perc
2016. szeptember 05.
javascript analizis spidermonkey, malzilla
71 perc
2016. október 17.
pdf analizis 1-12
88 perc
2016. október 17.
pdf 13-20, sans pdf1-2, vbscript, sans pdf3
119 perc
2016. október 17.