ホーム > 集合研修 分野別検索 > 集合研修 コース検索一覧(カテゴリ:情報処理安全確保支援士 特定講習) > マルウェア解析ハンズオン専門コース ~動的解析・静的解析~

マルウェア解析ハンズオン専門コース ~動的解析・静的解析~

期間  3日間 時間  10:00~17:30
価格(税込)  495,000円(税込) 主催  株式会社ラック
コース種別  集合研修  
形式  講義+実機演習 コースコード  SCC0098R
日程 会場 空席状況 実施状況 選択

2022年10月19日(水) ~ 2022年10月21日(金)

LAC東京(平河町)

  お申し込み後確認

2023年1月18日(水) ~ 2023年1月20日(金)

LAC東京(平河町)

  お申し込み後確認

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ お申込期日が過ぎた日程は、「お問い合わせください」と表示されます。
※ トレノケート主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ トレノケート主催コース以外では、主催会社のお席を確保した後に受付確定となります。
お申込みに関するお問い合わせはこちらから

ワンポイントアドバイス

アセンブラに全く触ったことがない方は、初日にアセンブラ入門を学習するオプション付きのコースをご用意いたしております。
以下のコースコードでお申し込みください。

※アセンブラ入門(オプション)について

マルウェアの特徴を押さえるための、アセンブラの学習を行います。
実行プログラムを作成するために行われる、リンカやローダ、コンパイル、ビルドといったものからどのようなファイルが作成されるかをお話します。
その後解析に必要なメモリやレジスタなどのハードウェアの基礎を学習した後、基本的なアセンブラ命令を学習します。
学習にはVisual Studio等を用いて、複数の言語ソースからバイナリを生成し、リバースして見るべきポイントを絞り込むところから始めます。
更に元のソースコードと比較し、アセンブラ言語になった場合、どのような表記になるかといった特徴を抑えていきます。
主にマルウェア解析に必要なものを多く含み、難読化や通信の暗号化についても紹介していきます。

重要なご連絡・ご確認事項

本コースは「情報処理安全確保支援士(登録セキスペ)特定講習」対象コースです。

登録セキスペ資格更新希望の方は、以下の対応をお願い致します。

①申込時:「登録セキスペ資格更新希望」と備考欄にご入力ください。

②受講時:IPA規定により「顔写真付き身分証明書」を忘れずにご持参ください。

 

参考URLhttps://www.meti.go.jp/press/2021/03/20220328001/20220328001.html

対象者情報

対象者
・IT技術者(インフラ系・開発系)
・SOC(セキュリティ運用)要員
・CSIRT要員(技術系)
前提条件
□入門編の受講経験がある(以下経験があれば、必須ではありません。)
□マルウェアの簡易解析を経験済み
- 表層解析が可能
- デバッガ以外のツールを使った動的解析が可能
□アセンブラ入門の受講経験がある(以下x86アセンブラについて大まかに理解していれば、必須ではありません。)
- mov,lea,add,sub,and,xor,rep,jmp,call,retnなどの代表的な命令を大よそ理解している
- レジスタ及びフラグレジスタの大よその役割を理解している
- サブルーチンの呼び出しと、その際のスタックの動作について理解している
- 数行程度の簡単なコードであれば、まとめてどのような機能か理解し、説明することができる
※本講演ではデバッガを駆使したマルウェア解析を行いますので、OllyDbgまたはImminity Debuggerとその操作要項を理解しておくとよりスムーズに理解できるようになります。
※使い方については各ツールを公開するサイトのドキュメントや、以下のような書籍を参考にしてください。
- デバッガによるx86プログラム解析入門
著者:Digital Travesia管理人 うさぴょん

学習内容の詳細

コース概要
本コースでは、マルウェア解析ハンズオン入門コースの上位コースとして、マルウェアに施された耐解析機能への対応手法や隠された機能を特定する手法などを習得します。
最終日には、入門・専門を通じて習得した各種技術を用いて、マルウェア解析の総合演習を行います。
学習目標
● 耐解析機能を持つマルウェアを解析する
● マルウェアの機能を論理的に理解する
● 膨大なアセンブラ命令から必要な情報を抽出し、見るべきポイントを抑える
学習内容
--1日目午前--

1. 耐解析機能と概要
  - 対応すべき耐解析機能
  - アセンブラとデバッガの知識の必要性

2. アセンブラ
  - マルウェアの特徴を抑えるためのアセンブラの学習
   ・基本命令、データの取り扱い、スタック、フラグレジスタ、元のソースコードなど

3. デバッガとその使い方
  - デバッガとその使い方(OllyDbg)
  - 攻撃者の意図を特定

--1日目午後--

4. 耐解析機能の回避
  - 耐解析機能の回避
  - 耐解析機能として動作する関数やコードの発見、対応
  - OllyDbgを用いた耐解析機能書き換え手法

5. マニュアルアンパックと必要な知識
  - マニュアルアンパック手法
   ・PEファイルフォーマット
   ・メモリダンプ手法
   ・実践可能なツールImportREC

6. マニュアルアンパック実践
  - マニュアルアンパックの実践

--2日目午前--

7. 静的解析
  - 静的解析とは
   ・IDA Pro

8. 簡易静的解析
  - デコンパイル可能なマルウェアの簡易動的解析
  - 実在したマルウェアの解析
  - 静的解析の考え方

9. IDA入門
  - IDAと使い方

--2日目午後--

10. IDA実践
  - IDAを使ったアセンブラの読み方
  - よくある問題についての対応

11. 演習と時間短縮テクニック
  - IDAを用いた特定マルウェアの特徴把握

--3日目午前--

12. 総合演習.I
  - 比較的簡単なマルウェアについての表層解析、動的解析、必要に応じて静的解析

--3日目午後--

13. 総合演習.II
  - マルウェア解析

ご注意・ご連絡事項

・最少催行人数に達しない場合には中止になる場合がございます。
・コース内容は変更される可能性があります。
・株式会社ラック開催コースの受講お申し込みは11営業日前まで、キャンセル・日程変更は11営業日前まで、受講者変更は2営業日前までとさせていただきます。日程変更は同一コースにつき一回限りです。

なお、キャンセル料の扱いは以下のとおりです。
・コース開始日の10営業日前以降:受講料の全額を請求
・日程変更後のキャンセル:お申し出日に関わらず受講料の全額を請求

おすすめのコースフロー図を見る