ホーム > マルウェア解析ハンズオン専門コース ~動的解析・静的解析~オプション付き

マルウェア解析ハンズオン専門コース ~動的解析・静的解析~オプション付き

  • New!
    新規コース(過去6ヶ月)

コース基本情報

コースタイトル マルウェア解析ハンズオン専門コース ~動的解析・静的解析~オプション付き
コースコード SCC0283R  
コース種別 集合研修 形式 講義+実機演習
期間 4日間 時間 10:00~17:30 価格(税込) 550,000円(税込)
主催 株式会社ラック
日程 会場 空席状況 実施状況 選択

2020年3月24日(火) ~ 2020年3月27日(金)

LAC東京(平河町)

  お申し込み後確認

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ トレノケート主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ トレノケート主催コース以外では、主催会社のお席を確保した後に受付確定となります。

詳しくはお問い合わせください。

ワンポイント

人材開発支援助成金を申請予定の場合、担当営業もしくはWebにご相談ください。

重要なご連絡・ご確認事項

2019年10月以降の開催コースより、お申し込みの変更(キャンセル、日程変更)に関する規定が変更となりました。

当コースは、1日目にオプションのアセンブラ入門を利用するためのコースコードです。
アセンブラに全く触ったことがない方は、是非ご利用ください。
1日目のオプションが不要な方は、
をお申し込みください。


※(オプション)アセンブラ入門について

マルウェアの特徴を押さえるための、アセンブラの学習を行います。
実行プログラムを作成するために行われる、リンカやローダ、コンパイル、ビルドといったものからどのようなファイルが作成されるかをお話します。
その後解析に必要なメモリやレジスタなどのハードウェアの基礎を学習した後、基本的なアセンブラ命令を学習します。
学習にはVisual Studio等を用いて、複数の言語ソースからバイナリを生成し、リバースして見るべきポイントを絞り込むところから始めます。
更に元のソースコードと比較し、アセンブラ言語になった場合、どのような表記になるかといった特徴を抑えていきます。
主にマルウェア解析に必要なものを多く含み、難読化や通信の暗号化についても紹介していきます。

対象者情報

対象者
・IT技術者(インフラ系・開発系)
・SOC(セキュリティ運用)要員
・CSIRT要員(技術系)
前提条件
□入門編の受講経験がある(以下経験があれば、必須ではありません。)
□マルウェアの簡易解析を経験済み
- 表層解析が可能
- デバッガ以外のツールを使った動的解析が可能
□アセンブラ入門の受講経験がある(以下x86アセンブラについて大まかに理解していれば、必須ではありません。)
- mov,lea,add,sub,and,xor,rep,jmp,call,retnなどの代表的な命令を大よそ理解している
- レジスタ及びフラグレジスタの大よその役割を理解している
- サブルーチンの呼び出しと、その際のスタックの動作について理解している
- 数行程度の簡単なコードであれば、まとめてどのような機能か理解し、説明することができる
※本講演ではデバッガを駆使したマルウェア解析を行いますので、OllyDbgまたはImminity Debuggerとその操作要項を理解しておくとよりスムーズに理解できるようになります。
※使い方については各ツールを公開するサイトのドキュメントや、以下のような書籍を参考にしてください。
- デバッガによるx86プログラム解析入門
著者:Digital Travesia管理人 うさぴょん

学習内容の詳細

コース概要
本コースでは、マルウェア解析ハンズオン入門コースの上位コースとして、マルウェアに施された耐解析機能への対応手法や隠された機能を特定する手法などを習得します。
最終日には、入門・専門を通じて習得した各種技術を用いて、マルウェア解析の総合演習を行います。
学習目標
● 耐解析機能を持つマルウェアの解析ができるようになる
● マルウェアの機能を論理的に理解できるようになる
● 膨大なアセンブラ命令から必要な情報を抽出し、見るべきポイントを抑える
学習内容
--0日目午前--

0. アセンブラ入門
  - アセンブラ概要
  - ディスアセンブラツールの紹介
  - データ
  - ハードウェア

--0日目午後--

0. アセンブラ入門(続き)
  - 基本命令
  - 簡易プログラムリバース実践
  - 難読化対応のためのアセンブラ
  - 通信及び暗号に関するアセンブラ

--1日目午前--

1. 耐解析機能と概要
  - 対応すべき耐解析機能
  - アセンブラとデバッガの知識の必要性

2. アセンブラ
  - マルウェアの特徴を抑えるためのアセンブラの学習
   ・基本命令、データの取り扱い、スタック、フラグレジスタ、元のソースコードなど

3. デバッガとその使い方
  - デバッガとその使い方(OllyDbg)
  - 攻撃者の意図を特定

--1日目午後--

4. 耐解析機能の回避
  - 耐解析機能の回避
  - 耐解析機能として動作する関数やコードの発見、対応
  - OllyDbgを用いた耐解析機能書き換え手法

5. マニュアルアンパックと必要な知識
  - マニュアルアンパック手法
   ・PEファイルフォーマット
   ・メモリダンプ手法
   ・実践可能なツールImportREC

6. マニュアルアンパック実践
  - マニュアルアンパックの実践

--2日目午前--

7. 静的解析
  - 静的解析とは
   ・IDA Pro

8. 簡易静的解析
  - デコンパイル可能なマルウェアの簡易動的解析
  - 実在したマルウェアの解析
  - 静的解析の考え方

9. IDA入門
  - IDAと使い方

--2日目午後--

10. IDA実践
  - IDAを使ったアセンブラの読み方
  - よくある問題についての対応

11. 演習と時間短縮テクニック
  - IDAを用いた特定マルウェアの特徴把握

--3日目午前--

12. 総合演習.I
  - 比較的簡単なマルウェアについての表層解析、動的解析、必要に応じて静的解析

--3日目午後--

13. 総合演習.II
  - マルウェア解析

ご注意・ご連絡事項

・最少催行人数に達しない場合には中止になる場合がございます。
・コース内容は変更される可能性があります。
・株式会社ラック開催コースの受講お申し込みは11営業日前まで、キャンセル・日程変更は11営業日前まで、受講者変更は2営業日前までとさせていただきます。日程変更は同一コースにつき一回限りです。

なお、キャンセル料の扱いは以下のとおりです。
・コース開始日の10営業日前以降:受講料の全額を請求
・日程変更後のキャンセル:お申し出日に関わらず受講料の全額を請求