Hedgehogs 的 Windows 恶意软件分析 – 初学者培训
了解真正的分析师真正关心的是什么:恶意软件逆向、干净与恶意软件、报告撰写、拆包
讲师:Karsten Hahn
口袋资源独家Udemy付费课程,独家中英文字幕,配套资料齐全!
用不到1/10的价格,即可享受同样的高品质课程,且可以完全拥有,随时随地都可以任意观看和分享。
你将学到什么
- 潜在恶意样本的分类和逆向工程
- 确定文件是否是恶意的、干净的、可能不需要的、灰色软件、损坏的或垃圾的
- 编写恶意软件报告
- 了解常见的恶意软件类型以及如何识别它们
- 知道如何以及何时使用反汇编器、调试器、元数据查看器
- 识别恶意软件家族
- 恶意软件分析所需的 Windows 内部结构,例如 Windows 注册表
- 加壳器类型、识别、拆包基础知识
- 分析本机和 .NET 可执行文件、安装程序、包装器、脚本
- 消毒基础知识
要求
- 您知道如何使用至少一种语言进行编程(例如 Python、C、C#、Java…)
- 您可以阅读 x86 程序集
描述
本课程不仅仅教授逆向工程,因为作为恶意软件分析师,您需要各种其他技能。您将学习如何将样本分类为恶意软件类型、如何识别恶意软件系列以及如何确定文件判定,例如干净、恶意、潜在有害程序、垃圾、灰色软件或损坏。此外,您还将了解恶意软件如何持续存在、如何识别恶意自动启动条目以及清理受感染的系统。
该课程旨在消除常见的误解,例如“检测名称中的特洛伊木马意味着该文件是特洛伊木马”或“防病毒检测名称是恶意软件分类”。
作为一名自 2015 年以来在反病毒公司工作的恶意软件分析师,我已经培训了该领域的许多初学者。我了解常见的陷阱以及您需要掌握才能精通的概念。我专注于建立坚实的基础,使您能够灵活应对新的恶意软件进展,而不是提供一步一步的捷径。
我将教您如何区分不同类型的文件,包括安装程序、包装程序、打包文件、非打包文件、混合文件和本机编译文件。您将了解在哪些情况下应用哪些工具以及如何有效地分析样本。为此,我为您提供适用于大多数情况的示例方法。
如果您已经具备一定的 IT 背景,例如业余爱好或专业程序员、计算机爱好者、管理员、计算机科学专业的学生或对软件内部运作或 IT 安全感兴趣的游戏玩家,那么本课程非常适合您。
如果你对该主题有浓厚的兴趣但缺乏必要的IT背景,我建议你先学习编程。请参阅课程要求了解更多信息。
工具
我们在课程中使用的所有工具和网络服务都是免费的:
- 吉德拉
- x64dbg
- 虚拟盒子
- 系统内部套件
- PortexAnalyzer CLI 和 GUI
- VirusTotal(无帐户)
- Mandiant 的地下酒吧
- API监控器
- 网络厨师
- EXIF工具
- 梅尔德
- VBinDiff
- 分析PESig
- 间谍软件
- C# 在线编译器programwiz
- 三维
- 轻松检测
- 重命名器
- 7zip
- 记事本++
- 高×深
- 马尔百科
- lnk_解析器
要求
您应该对至少一种编程语言有深入的了解,例如 Python、C、C++、Java 或 C#。这是本课程的关键要求,不仅因为我们在课程中创建小脚本,而且因为逆向工程需要了解软件作为基础。具体的语言并不重要,因为无论如何你都无法学习在分析过程中可能遇到的每种语言。不过,编程的概念必须清晰。
如果你还没有达到这个目标,你不应该购买这门课程,而是开始学习 C。C 很棒,因为它是低级的,并且可以与 x86 汇编语言很好地集成。
此外,您必须能够读取(而不是写入)x86 程序集才能理解课程中的所有内容。如果不进行汇编,您将只能理解三分之二的内容。因此,如果您考虑立即开始本课程并同时学习汇编,那应该会很好。
在本课程中,我们将了解使用以下执行环境的示例:
- x86、x64 组件
- 。网
- 批
- 电源外壳
- 空软件脚本
但是,您不需要学习所有这些语言。由于分析师总是会遇到新的语言,因此您的技能主要在于使用为这些环境和语言提供的可用文档、手册和帮助。我还在课程中向您展示如何使用 PowerShell 等文档。
超出范围
恶意软件分析是一个广泛的领域,因此不可避免地会有一些主题我不会在本课程中教授,因为他们宁愿需要自己的课程。其中一些主题包括:汇编语言、编程、计算机如何工作、URL 和网站分析、网络、Windows 以外其他平台的恶意软件分析、移动恶意软件、物联网恶意软件。
本课程适合谁:
- 非常适合具有一定 IT 经验的人或刚开始恶意软件分析和逆向工程的 IT 爱好者
- 入门级或有抱负的恶意软件分析师
- 计算机科学专业毕业生
- 软件开发商
- SOC 分析师
- 业余爱好程序员