Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Malware analysis
Курс знакомит с процессами и методами проведения анализа вредоносных программ
Online
Практический курс по анализу вредоносного программного обеспечения
Старт группы
13 сентября
13 сентября
Длительность
14 недель
14 недель
Кому подходит курс
Специалистам по реагированию на компьютерные инциденты, сотрудникам команд SOC, TI, DFIR
Специалистам по реагированию на компьютерные инциденты, сотрудникам команд SOC, TI, DFIR
После успешного прохождения курса выдается удостоверение о повышении квалификации и электронный сертификат
Возможности Python-скриптов для автоматизации анализа вредоносных программ в Ghidra
Динамический анализ вредоносных программ
Статический анализ вредоносных программ
Предварительный анализ вредоносных программ
На курсе вы изучите:
Получите навыки:
Настраивать изолированную виртуальную среду для анализа вредоносных программ
Определять вредоносность анализируемого файла
Детонировать вредоносные программы в изолированной виртуальной среде
Собирать информацию по анализируемому файлу из открытых источников
Исследовать дизассемблированный / декомпилированный код вредоносных программ в дизассемблере / декомпиляторе
Определять признаки использования протекторов, крипторов, упаковщиков
Отлаживать образцы вредоносных программ в отладчике
Противодействовать анти-отладочным техникам вредоносных программ
Создавать дампы запущенных вредоносных процессов
Описывать функциональные возможности вредоносных программ согласно техникам MITRE ATT&CK
Анализировать вредоносные документы MS Office и макросы в них
Писать YARA-правила вручную и автоматически, выявлять ложные срабатывания в YARA-правилах
Применять IOC-сканер Loki для выявления вредоносной активности на хосте
VirtualBox
Ghidra
x64dbg
ImHex
FLOSS
CFF Explorer
PE-bear
DiE
dnSpy
ILSpy
de4dot-cex
.NETReactorSlayer
ExtremeDumper
MegaDumper
Scylla
Autoruns
Procmon
System Informer
Fakenet-NG
Ncat
Wireshark
oletools
oledump
API Monitor
tiny_tracer
YARA
Loki
yarGen
HashMyFiles
ExifTool
Python
Технологии и инструменты, которые будете использовать:
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Программа курса
Теория
Практика
Демонстрация
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
📄 1.1 Анализ вредоносных программ: суть и роль
📄 1.2 Вредоносные программы и их классификация
📄 1.3 Основные векторы распространения вредоносных программ
📄 1.4 Функциональные возможности вредоносных программ
✅ Тест. Типы и поведение ВПО
🗣️ Вебинар. Опыт без опыта. Как стать вирусным аналитиком?
📄 1.2 Вредоносные программы и их классификация
📄 1.3 Основные векторы распространения вредоносных программ
📄 1.4 Функциональные возможности вредоносных программ
✅ Тест. Типы и поведение ВПО
🗣️ Вебинар. Опыт без опыта. Как стать вирусным аналитиком?
📄 2.1 Установка FLARE-VM на виртуальную машину
📄 2.2 Обзор имеющихся инструментов FLARE-VM
📄 2.3 Установка дополнительных инструментов
⚙️ Практическая работа. Создание и настройка виртуальной среды для анализа вредоносных программ
▶️ Видео. Настройка виртуальной машины для анализа вредоносных программ
📄 2.2 Обзор имеющихся инструментов FLARE-VM
📄 2.3 Установка дополнительных инструментов
⚙️ Практическая работа. Создание и настройка виртуальной среды для анализа вредоносных программ
▶️ Видео. Настройка виртуальной машины для анализа вредоносных программ
📄 3.1 Проведение предварительного анализа вредоносного файла
📄 3.2 Обзор инструментов и сервисов для предварительного анализа
📄 3.3 Разбор результатов анализа вредоносных файлов в публичных онлайн-песочницах
⚙️ Практическая работа. Предварительный анализ PE-файла
⚙️ Практическая работа. Предварительный анализ документа MS Office
📄 3.2 Обзор инструментов и сервисов для предварительного анализа
📄 3.3 Разбор результатов анализа вредоносных файлов в публичных онлайн-песочницах
⚙️ Практическая работа. Предварительный анализ PE-файла
⚙️ Практическая работа. Предварительный анализ документа MS Office
📄 4.1 Краткий экскурс: ассемблер, память, соглашение вызовов
📄 4.2 Формат PE
📄 4.3 Основы работы в Ghidra
⚙️ Практическая работа. Анализ вредоносного PE32-файла в Ghidra
🗣️ Вебинар. Q/A сессия
📄 4.4 Определение высокоуровневых конструкций в дизассемблированном листинге Ghidra
📄 4.5 Статический анализ вредоносных файлов формата PE
⚙️ Практическая работа. Анализ вредоносного PE32+файла в Ghidra
▶️ Видео. Статический анализ вредоносных файлов формата PE
📄 4.2 Формат PE
📄 4.3 Основы работы в Ghidra
⚙️ Практическая работа. Анализ вредоносного PE32-файла в Ghidra
🗣️ Вебинар. Q/A сессия
📄 4.4 Определение высокоуровневых конструкций в дизассемблированном листинге Ghidra
📄 4.5 Статический анализ вредоносных файлов формата PE
⚙️ Практическая работа. Анализ вредоносного PE32+файла в Ghidra
▶️ Видео. Статический анализ вредоносных файлов формата PE
📄 5.1 Основы работы в отладчике x64dbg
📄 5.2 Динамический анализ файлов формата PE
⚙️ Практическая работа. Отладка вредоносного PE32 файла в x64dbg
▶️ Видео. Динамический анализ вредоносных файлов формата PE
🗣️ Вебинар. Техники внедрения вредоносного кода
📄 5.3 Создание дампов запущенных процессов исполняемых PE-файлов и восстановление таблицы импорта
⚙️ Практическая работа. Отладка вредоносного PE32+файла в x64dbg
🗣️ Вебинар. Распаковка вредоносного файла с использованием TI-данных
📄 5.2 Динамический анализ файлов формата PE
⚙️ Практическая работа. Отладка вредоносного PE32 файла в x64dbg
▶️ Видео. Динамический анализ вредоносных файлов формата PE
🗣️ Вебинар. Техники внедрения вредоносного кода
📄 5.3 Создание дампов запущенных процессов исполняемых PE-файлов и восстановление таблицы импорта
⚙️ Практическая работа. Отладка вредоносного PE32+файла в x64dbg
🗣️ Вебинар. Распаковка вредоносного файла с использованием TI-данных
📄 6.1 Техники противодействия анализу вредоносных программ
📄 6.2 Распаковка вредоносных программ
📄 6.3 Деобфускация вредоносных программ
📄 6.4 Обход методов антиотладки и детектирования запуска в изолированной виртуальной среде
⚙️ Практическая работа. Анализ обфусцированного файла
▶️ Видео. Распаковка вредоносных программ
📄 6.2 Распаковка вредоносных программ
📄 6.3 Деобфускация вредоносных программ
📄 6.4 Обход методов антиотладки и детектирования запуска в изолированной виртуальной среде
⚙️ Практическая работа. Анализ обфусцированного файла
▶️ Видео. Распаковка вредоносных программ
📄 7.1 Архитектура фреймворка .NET
📄 7.2 Компиляция и исполнение .NET-приложений
📄 7.3 Особенности формата .NET-приложения
📄 7.4 Анализ .NET-приложений в dnspy
📄 7.5 Анализ .NET-приложений в ILSpy
📄 7.6 Деобфускация .NET-приложений
⚙️ Практическая работа. Анализ вредоносного .NET-приложения
▶️ Видео. Деобфускация вредоносных .NET-приложений
🗣️ Вебинар. Исследование вредоносных Golang,Python исполняемых файлов
📄 7.2 Компиляция и исполнение .NET-приложений
📄 7.3 Особенности формата .NET-приложения
📄 7.4 Анализ .NET-приложений в dnspy
📄 7.5 Анализ .NET-приложений в ILSpy
📄 7.6 Деобфускация .NET-приложений
⚙️ Практическая работа. Анализ вредоносного .NET-приложения
▶️ Видео. Деобфускация вредоносных .NET-приложений
🗣️ Вебинар. Исследование вредоносных Golang,Python исполняемых файлов
📄 8.1 Технология OLE и формат OLE
📄 8.2 Файлы формата OOXML и RTF
📄 8.3 Сценарии атак с использованием вредоносных документов
📄 8.4 Анализ вредоносных макросов
📄 8.5 Обзор инструментов и сервисов для анализа вредоносных документов MS Office
⚙️ Практическая работа. Анализ вредоносных офисных документов
📄 8.2 Файлы формата OOXML и RTF
📄 8.3 Сценарии атак с использованием вредоносных документов
📄 8.4 Анализ вредоносных макросов
📄 8.5 Обзор инструментов и сервисов для анализа вредоносных документов MS Office
⚙️ Практическая работа. Анализ вредоносных офисных документов
📄 9.1 Что такое YARA-правила. Функционал, основы создания YARA-правил
📄 9.2 Проверка ложных срабатываний YARA-правил
📄 9.3 Обзор IOC-сканера LOKI
📄 9.4 Автогенерация YARA-правил
⚙️ Практическая работа. Создание YARA-правил для сортировки и классификации образцов вредоносных программ
🗣️ Вебинар. Искусство создания YARA-правил: лучшие практики и советы
📄 9.2 Проверка ложных срабатываний YARA-правил
📄 9.3 Обзор IOC-сканера LOKI
📄 9.4 Автогенерация YARA-правил
⚙️ Практическая работа. Создание YARA-правил для сортировки и классификации образцов вредоносных программ
🗣️ Вебинар. Искусство создания YARA-правил: лучшие практики и советы
Дмитрий Купин
Руководитель отдела исследования киберугроз и вредоносного кода управления киберразведки BI.ZONE
Руководитель отдела исследования киберугроз и вредоносного кода управления киберразведки BI.ZONE
Авторы курса
Окончил МГТУ им. Н. Э. Баумана по специальности «противодействие техническим разведкам». С 2013 г. работает в сфере информационной безопасности. С 2016 г. по совместительству преподает в МГТУ им. Н. Э. Баумана. Руководит отделом исследования киберугроз и вредоносного кода управления киберразведки. Занимается анализом вредоносных программ, атрибуцией и отслеживанием киберугроз. Ведет исследовательскую деятельность, результатом которой является множество технических блогов и научных статей. Также выступает на международных конференциях по кибербезопасности.
Ключевые навыки
- Реверс-инжиниринг (Reverse engineering)
- Анализ вредоносного кода (Malware analysis)
- MITRE ATT&CK
- Киберразведка (Threat Intelligence)
- YARA-правила (YARA rules)
- Python
Семён Рогачев
Руководитель отдела реагирования на инциденты в компании Бастион
Руководитель отдела реагирования на инциденты в компании Бастион
Больше 7 лет работы в области информационной безопасности. Начинал карьеру в роли вирусного аналитика, позже занявшись реагированием на инциденты и их расследованием. Имеет опыт преподавания (в том числе в ВУЗе) и выступления на конференциях (отечественных и зарубежных)
Ключевые навыки
Ключевые навыки
- Расследование и реагирование на инциденты
- Анализ вредоносного ПО
- Проактивный поиск угроз
Как проходит курс
Примерите на себя роль аналитика вредоносного ПО. Вместе с наставником курса решите задачи, с которыми сталкиваются в реальной жизни ИБ-команды большинства компаний.
Вы изучаете материал в свободное время без привязки к группе. Есть общий дедлайн по теории и заданиям, а нагрузку распределяете сами — учитесь в удобное для вас время. А также ходите на онлайн-вебинары и общаетесь в чате с экспертами и студентами. Рекомендуем выделять на курс 10−15 часов в неделю.
Вы изучаете материал в свободное время без привязки к группе. Есть общий дедлайн по теории и заданиям, а нагрузку распределяете сами — учитесь в удобное для вас время. А также ходите на онлайн-вебинары и общаетесь в чате с экспертами и студентами. Рекомендуем выделять на курс 10−15 часов в неделю.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
До 50% информации изложено в формате лекций, скринкастов и проверочных тестов — это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики команды поиска угроз каждый день: от создания ландшафта угроз и работы с индикаторами компрометации, до формулировки и проверки гипотез, включая реальные кейсы компаний. При решении задач обучающиеся используют реальные инструменты и платформы анализа данных.
До 50% информации изложено в формате лекций, скринкастов и проверочных тестов — это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики команды поиска угроз каждый день: от создания ландшафта угроз и работы с индикаторами компрометации, до формулировки и проверки гипотез, включая реальные кейсы компаний. При решении задач обучающиеся используют реальные инструменты и платформы анализа данных.
Необходимые знания для освоения программы курса
- Знание и понимание основ языков программирования (С/С++, С#, Python, Visual Basic, Assembler)
- Знание и понимание базовых принципов работы с ОС Windows
- Знание и понимание базовых принципов работы сетей
- Знание и понимания основ ИБ
- Опыт работы с cmd, powershell, wireshark, virtual box, шестнадцатеричными редакторами (hex-редакторами), текстовыми редакторами (например, VS Code или Notepad++)
Технические рекомендации для прохождения курса
- Процессор на архитектуре Intel;
- 100 Гб свободного места на диске;
- ОЗУ: минимум 8 Гб оперативной памяти (лучше 16 Гб);
Вступительное тестирование
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
| Пройти тест |
Какой из следующих языков программирования является низкоуровневым?
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой инструмент предназначен для анализа сетевого трафика?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой файловый формат используется для исполняемых файлов в Windows?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какие техники часто используются для скрытия вредоносного кода в исполняемых файлах? (Выберите несколько вариантов)
Верно!
Верно!
Не верно
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Какой из следующих вызовов API позволяет загрузить библиотеку DLL в процесс?
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой метод часто используется вредоносным ПО для скрытой передачи данных за границы сети? (Выберите несколько вариантов)
Не верно
Верно!
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какая команда в Windows позволяет обнаружить подозрительные установленные соединения с внешними серверами?
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой метод позволяет вредоносному ПО скрываться в системе? (Выберите несколько вариантов)
Не верно
Верно!
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какие инструменты можно использовать для редактирования двоичных файлов? (Выберите несколько вариантов)
Не верно
Не верно
Верно!
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Какая команда может помочь выявить процессы, работающие от имени системного пользователя (NT AUTHORITY\SYSTEM)?
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какие расширения могут иметь исполняемые файлы в Windows? (Выберите несколько вариантов)
Верно!
Верно!
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой из этих инструментов можно использовать для анализа вредоносного ПО? (Выберите несколько вариантов)
Верно!
Не верно
Верно!
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Какая команда в PowerShell позволяет получить список работающих процессов?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
В каком разделе реестра Windows злоумышленники часто создают ключи для закрепления вредоносного ПО? (Выберите несколько вариантов)
Верно!
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой принцип работы лежит в основе песочницы (sandbox) при анализе вредоносного ПО?
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Недостаточно знаний
С вашим текущим уровнем знаний вам будет очень сложно учиться. Будьте готовы к этому. Или вы можете выбрать другой курс Inseca.
| Пройти еще раз |
Недостаточно знаний
С вашим текущим уровнем знаний вам будет очень сложно учиться. Будьте готовы к этому. Или вы можете выбрать другой курс Inseca.
| Пройти еще раз |
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
| Пройти еще раз |
У нас учатся
О компании
ИНСЕКА — это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную — долго и сложно.
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов в ИБ для обмена опытом
Записаться на курс
Длительность 14 недель
Старт 13 сентября
Старт 13 сентября
96 000 ₽
120 000 ₽
Рассрочка 0% без переплат
16 000 ₽/месяц
на 6 месяцев
8 000 ₽/месяц
на 12 месяцев
для физических лиц, гос. компаний и вузов
для юридических лиц
Стоимость курса %
Стоимость курса
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты