标注的博客| 安全研究| 渗透测试| APT

首页

malwaredynamic分析

作者 olanna 时间 2020-02-27
all

创建者:Veronica Kovah

许可证:知识共享:归属,共享

(http://creativecommons.org/licenses/by-sa/3.0/)

课程先决条件:无

实验室要求:带VirtualBox和WindowsXP虚拟机的Linux系统。

课堂教材:Michael Sikorski和Andrew Honig的“实用恶意软件分析”

建议上课时间:3天

可亲自授课的创作者:是

作者评论:

这个介绍性的恶意软件动态分析类专门针对那些开始进行恶意软件分析的人,或者那些想知道通过各种工具可以检测到恶意软件留下的哪些工件的人。该课程将是一个实践性的课程,学生可以使用各种工具来寻找恶意软件的存在方式:持久化、通信和隐藏

我们将通过首先学习沙盒使用的各个技术来实现上述各项。我们将展示如何捕获和记录注册表,文件,网络,互斥锁,API,安装,钩住和恶意软件进行的其他活动。我们将创建虚假的网络响应,以欺骗恶意软件,使其显示更多的行为。我们还将讨论如何使用MITRE的恶意软件属性枚举和描述(MAEC-发音为“Mike”)标准来帮助规范化手动或从沙盒中获取的数据,并改进初级恶意软件分析师的报告。该类还将讨论如何获取恶意软件属性并将其转换为有用的检测签名,如Snort网络IDS规则或YARA签名。

动态分析应该始终是分析人员发现恶意软件功能的第一种方法。但是这个类将显示动态分析无法实现完整分析的实例,例如,由于恶意软件的技巧。因此,在本课程中,您将学习何时需要使用静态分析,如下所述的逆向工程和逆向工程恶意软件类的后续介绍。

在这门课上,学生们将完成许多动手练习。

课程目标:

*了解如何设置受保护的动态恶意软件分析环境

*获得使用各种恶意软件行为监视工具的实际经验

*了解分析人员应该从分析中收集的恶意软件工件集

*了解如何诱骗恶意软件显示仅在特殊情况下才会发生的行为

*从恶意软件指示器创建可操作的检测签名

建议在以后的恶意软件静态分析类中使用此类。这是为了让学生了解这两种技巧,并利用这一技巧对给定的问题给出最快的答案。

所有的尝试都是为了正确引用参考文献,但是如果有遗漏,请联系作者。

最新类材料

所有材料(.ppt的zip(241张幻灯片)和类恶意软件示例)

所有材料(pdf的(.zip)(241张幻灯片)和类恶意软件示例)

(在最新的幻灯片中,背景材料交错在材料中。)

幻灯片第0部分(简介,12张幻灯片)

幻灯片第1部分(工具和实验室设置,恶意软件术语,老鼠分析(毒常春藤),行为分析43张幻灯片)

幻灯片第2部分(持久性技术(注册表、文件系统、服务),42张幻灯片)

幻灯片第3部分(操作(恶意软件如何在系统上战略定位)-DLL/代码注入,DLL搜索路径劫持,IAT/内联挂接,52张幻灯片)

幻灯片第4部分(恶意软件功能(如键盘记录、手机主页、安全降级、自我销毁、自我回避等),45张幻灯片)

幻灯片第5部分(使用一体式沙盒(布谷鸟),MAEC,22张幻灯片)

幻灯片第6部分(将输出转换为恶意软件存在的可操作指示器(如Snort/Yara签名),25张幻灯片)

课堂材料(与视频匹配)

所有材料(.zip of odp(216张幻灯片)和类恶意软件示例)

所有材料(pdf的(.zip)(216张幻灯片)和类恶意软件示例)

幻灯片第1部分(背景概念、术语、工具和实验室设置,63张幻灯片)