Zararlı Yazılım Analiz Eğitimi

Amaç

Katılımcıların zararlı yazılım örneklerinin hedeflerini, uyguladıkları gizlenme, kalıcılık ve yayılma yöntemlerini anlamak için inceleyebilmeleri amaçlanmaktadır. Bu incelemenin temel ve ileri düzeyde, hem statik hem de dinamik yöntemlerle nasıl gerçekleştirilebileceği eğitimin konusunu oluşturmaktadır.

Ön Koşullar

Zararlı yazılım eğitimimizde tersine mühendislik ile ilgili temel bilgiler yer almakla birlikte katılımcıların önce X86 Tersine Mühendislik eğitimimize katılmaları tavsiye edilmektedir. Exploit Geliştirme eğitimlerimize katılım da dinamik analiz yöntemlerinin daha iyi anlaşılabilmesi için faydalı olacaktır.

Katılımcılar

Bilgi güvenliği ve olay müdahale uzmanları, bilgi güvenliği ve bilgi teknolojileri denetçileri eğitime katılabilir.

İçerik
  • Zararlı yazılım davranışları
    • Dosya indirme ve başlatma
    • Arka kapı servisleri
    • Erişim bilgilerini çalma
    • Kalıcılık mekanizmaları
    • İzlerini örtme
  • Temel statik analiz
    • String araştırma
    • PE dosya formatı
    • Import edilmiş fonksiyonlar
    • Paketlenmiş / kodlanmış zararlı yazılımlar
  • Zararlı yazılım analizinde sanal makine kullanımı
    • Sanal makine konfigürasyonu ve snapshot alma
    • Sanal makine tespiti yapan zararlı yazılımlar
  • Temel dinamik analiz
    • Kum havuzu kullanımı
    • Process monitor ile yazılım aktivitesinin izlenmesi
    • Wireshark ile ağ iletişiminin analizi
    • Registry farkının alınması
  • İleri statik analiz
    • X86 mimarisine giriş
    • Temel assembly instruction’ları
    • Stack organizasyonu
    • Calling convention’ları
    • IDA Pro ile disassembly ve IDA Pro’nun kullanımı
    • Windows API’leri (dosya sistemi, ağ, registry erişim fonksiyonları)
    • Native API’lerin kullanımı
  • İleri dinamik analiz
    • Assembly seviyesinde debug işlemi
    • Debugger kullanımı (adım adım işletme, koşulsuz ve koşullu breakpoint tanımlama, v.d.)
    • Uygulama akışına debugger ile müdahale etme
    • Ollydbg ile uygulama akışını trace etme
  • Gizli zararlı yazılım çalıştırma yöntemleri
    • Proses injection yöntemleri (dll injection, direk injection)
    • Hook injection yöntemleri
  • Tersine mühendisliğe karşı koyma yöntemleri
    • Kod okunurluğunu azaltma yöntemleri
      • Temel kodlama yöntemleri (XOR, Base64)
      • Kriptolama algoritmaları
      • Decoding
      • Packer’lar ve unpacking işlemi
    • Disassembly işlemini zorlaştırma yöntemleri
      • Disassembly algoritmalarının geçersiz hale getirilmesi
      • Uygulama akışının anlaşılmasını zorlaştırma
    • Debug etmeyi zorlaştırma yöntemleri
      • Debugger varlığını tespit yöntemleri
      • Debugger davranışını tespit yöntemleri
      • Debugger fonksiyonalitesini aşma yöntemleri
    • Sanal makine kullanımını tespit yöntemleri
  • Shellcode analizi
  • C++ derleyicisiyle derlenmiş kodların analizi
Süre / Yerr

Süre: 2 gün

Yer: İstanbull