Kezdés:
Ez a tanfolyam már véget ért,
figyeld az új időpontokat!
Hossz:
5 nap
Az egyes alkalmak
Ár:
249 000 Ft+áfa
ingyenes!
Részvételi mód:
Visszanézhető videók
A Malware (malicious software) a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok, férgek (worm); a kémprogramok (spyware); agresszív reklámprogramok (adware) és a rootkit-ek. Ezeket különféle módokon álcázzák (pdf, doc, kép, stb). A számítógépes kártevő programok mennyisége folyamatosan növekszik és időről időre új típusok terjednek el. Ezeket a rosszindulatú programokat analizáljuk a tanfolyamon. Az oktatás során visszafejtjük a malware működésének főbb részeit, hogy rájöjjünk, mit akar csinálni az alkalmazás. Ehhez meg kell ismerkedni a különböző csomagolási technikákkal ("packing"), különböző analíziseket végzünk (statikus, dinamikus).
Előismeretek
Egy tetszőleges programozási nyelv alapfokú ismerete szükséges a képzés sikeres elvégzéséhez.
Online részvétel
A tanfolyamot felszerelt tantermünkben, és akár otthonról is követheti élőben. A chaten keresztül felteheti kérdéseit az oktatónak, és korlátlanul visszanézheti a tanfolyami alkalmakon készült felvételeket.
Kinek ajánljuk?
A tanfolyamot azoknak a hallgatóknak ajánljuk, akik alaposan meg akarják ismerni a különböző malware-ek működését.
Oktatók
Zsíros Péter

Vezető oktató, hálózatbiztonsági szakértő
 

Hambalkó Balázs

Vezető IT biztonsági oktató

 

Témakörök
1. Bevezetés az assemblybe: static, load (compile) time dynamic linking, és runtime dynamic linking módban fordított alkalmazások közötti különbség

Megismerkedünk az Assembly-vel olyan szinten, hogy értsük, mi történik egy alkalmazás futása során. Azonosítani tudjuk az elágazási pontokat és a programkód futását más irányba tudjuk terelni. A példaalkalmazások megpatchelésére saját debugger scripteket írunk, különböző gyakori debuggerekhez, pl. ollyDBG, immunitydebugger, stb.

2. Malwarek statikus és dinamikus analízise

Statikus analízis során megtanuljuk, hogyan lehet a kód futtatása nélkül következtetéseket levonni arról, hogy mit akar csinálni az alkalmazás, hogyan lehet azonosítani a packerek jelenlétét? Dinamikus analízis során megvizsgáljuk, hogy milyen módosításokat hajtanak végre példaalkalmazások a számítógépen, ezeket hogy lehet azonosítani és figyelni. Megismerkedünk a példaalkalmazásokon keresztül néhány gyakori automatikus indítási módszerrel, amit malware-k is használnak.

3. Packerek használata, packelt kódok visszafejtésének a kísérlete

Megvizsgáljuk, hogy milyen gyakran használt packerek vannak, ezeket hogyan tudjuk azonosítani. Kipróbálunk különböző automata toolokat a packelt alkalmazások kibontására, illetve megnézzük, hogy egy ismeretlen packert kézzel milyen módszerekkel próbálhatunk meg kibontani. A kibontáshoz mindig egyszerű debugger scripteket is írunk.

4. User módú rootkit (IAT hooking) példa

Megismerkedünk a rootkitekkel, egyszerű példaként elkészítünk egy saját import address táblát használó rootkitet, amelyik elrejt egy alkönyvtárat a command prompt-ból. Egy valódi rootkittel elrejtünk alkalmazást a taskmanagerből, majd memóriadumpot készítünk, amit később analizálni fogunk, hogy megtaláljuk a rejtett processt.

5. Javascript, pdf és vbs analízis alapok

Megvizsgáljuk, hogy hogyan próbálnak malware-k weboldalra rejtőzködni, pl. JavaScriptben, illetve hogyan szoktak malware-eket továbbítani pl. PDF-ben. Ennek során megismerkedünk a PDF felépítésével és hogyan lehet analizálni a benne lévő tartalmakat, kiszedni belőle a gyanús kódokat majd azokat analizálni.

6. Antidebugging technikák és azok megkerülése

Megismerkedünk olyan technikákkal, ahol a Malware-k megpróbálják elkerülni az analízist (antidebugging) és megnézzük, hogy az ilyen védelemmel ellátott alkalamzásokat hogyan lehet analizálni (anti-antidebugging). A különböző megismert technikákhoz mindig debugger scriptet is készítünk az aktuálisan használt debuggerben, hogy ne kelljen kézzel végrehajtani őket minden egyes alkalommal.

7. Valói malware analízise

Megvizsgáljuk, hogy az eddig tanult technikákat hogyan tudjuk egy valódi malware-nél alkalmazni, hogyan tudjuk kibontani a packer-jét.

8. Kernel módú rootkit (DKOM kézzel)

Megismerkedünk a Kernel módú rootkitek családjával, példaként debuggert használva kézzel elrejtünk egy alkalmazást (direct kernel object modfication). Erről az állapotról memóriadump-ot készítünk, melyet a későbbiekben analizálni fogunk hogy megtaláljuk az elrejtett alkalmazást.

9. Volatility használata

A korábbiakban elkészített memóriadumpokat volatility framework segítségével analizáljuk, megpróbáljuk megtalálni az elrejtett tartalmat.

10. Zeusszal fertőzött gép memória image-ének analízise volatilityval

Zeusszal fertőzött számítógépek memóriadumpjait analizáljuk. Megrpóbáljuk megállapítani, hogyan kerrült be a malware a számítógépre, milyen nyomokat hagyott és mik történtek a hatására.

Technikai információk
Részletes technikai információkat csak a képzés hallgatói nézhetik meg bejelentkezés után!
Tanfolyami értékelőlap
Kérlek segíts nekünk abban, hogy kitöltöd a kérdőívünket a tanfolyammal kapcsolatban!
Malware analízis tanfolyami videók
brancehk patching01, 02, 03 eleje
111 perc
2016. október 17.
patching03, 04 windbg script eleje
64 perc
2016. október 17.
patching01, ollydbg 1.1-el
100 perc
2017. március 06.
patching02, ollydbg 2.01
65 perc
2017. március 06.
patching03 immunitydbg, patching04 windbg
117 perc
2017. március 06.
patching01 x64dbg, patching05 gyakorlas
76 perc
2017. március 06.
statikus analizis bevezetes
110 perc
2016. október 17.
autorun1, autorun2
90 perc
2016. október 17.
antidebugging IsDebuggerPresent bypass
47 perc
2016. október 17.
CheckRemoteDebuggerPresent, autorun3
122 perc
2016. október 17.
NtGlobalFlags
53 perc
2016. október 17.
autorun4, ntQueryInformationProcess ollyval
116 perc
2016. október 17.
ntqueryinformationprocess, gettickcount, autrun5, tls callback
110 perc
2016. október 17.
autorun1 statikus analizis, elokeszulet dinamikus analizishez
67 perc
2017. március 07.
autorun1 dinamikus analizis regshot, autoruns, procmon, apimon
72 perc
2017. március 07.
autorun2 static-dynamic, antidebugging IsDebuggerPresent
116 perc
2017. március 07.
Antidebugging CheckRemoteDebuggerPresent 1
47 perc
2017. március 07.
CheckRemoteDebuggerPresent x64dbg, autorun3, 4 static es dinami
107 perc
2017. március 08.
autorun5, capturebat, processmonitor, processhacker
40 perc
2017. március 08.
packerek, upx, script upx-hez,
111 perc
2016. október 17.
fsg packer, loadlibrarz, getProcAddress figyeles, chapter3-01
58 perc
2016. október 17.
chapter3 lab 01, 02
104 perc
2016. október 17.
xpsp2, bintext, namedpipe detect, virtualbox
121 perc
2016. október 17.
DKOM-1, kezi unpack
2017. március 14.
IAT hooking
2017. március 14.
javascript analizis spidermonkey, malzilla
71 perc
2016. október 17.
pdf analizis 1-12
88 perc
2016. október 17.
pdf 13-20, sans pdf1-2, vbscript, sans pdf3
119 perc
2016. október 17.
pdf analizis
2017. március 14.
javascript analizis folytatas
2017. március 14.
javascript analizis
2017. március 14.
checkRemoteDebuggerPresent 2
6 perc
2017. március 07.
ntglobalflags
43 perc
2017. március 08.
zwQueryInformationProcess
140 perc
2017. március 08.
kezi unpack-2, DKOM befejezes, memoria dump, volatility
2017. március 14.
memoria dump, volatility, valodi rootkitre
2017. március 14.