Практический курс по анализу вредоносного ПО

📄 1.1 Анализ вредоносных программ: суть и роль
📄 1.2 Вредоносные программы и их классификация
📄 1.3 Основные векторы распространения вредоносных программ
📄 1.4 Функциональные возможности вредоносных программ
✅ Тест. Типы и поведение ВПО
🗣️ Вебинар. Опыт без опыта. Как стать вирусным аналитиком?

📄 2.1 Установка FLARE-VM на виртуальную машину
📄 2.2 Обзор имеющихся инструментов FLARE-VM
📄 2.3 Установка дополнительных инструментов
⚙️ Практическая работа. Создание и настройка виртуальной среды для анализа вредоносных программ
▶️ Видео. Настройка виртуальной машины для анализа вредоносных программ

📄 3.1 Проведение предварительного анализа вредоносного файла
📄 3.2 Обзор инструментов и сервисов для предварительного анализа
📄 3.3 Разбор результатов анализа вредоносных файлов в публичных онлайн-песочницах
⚙️ Практическая работа. Предварительный анализ PE-файла
⚙️ Практическая работа. Предварительный анализ документа MS Office

📄 4.1 Краткий экскурс: ассемблер, память, соглашение вызовов

📄 4.2 Формат PE

📄 4.3 Основы работы в Ghidra
⚙️ Практическая работа. Анализ вредоносного PE32-файла в Ghidra
🗣️ Вебинар. Q/A сессия

📄 4.4 Определение высокоуровневых конструкций в дизассемблированном листинге Ghidra
📄 4.5 Статический анализ вредоносных файлов формата PE

⚙️ Практическая работа. Анализ вредоносного PE32+файла в Ghidra
▶️ Видео. Статический анализ вредоносных файлов формата PE

📄 5.1 Основы работы в отладчике x64dbg
📄 5.2 Динамический анализ файлов формата PE
⚙️ Практическая работа. Отладка вредоносного PE32 файла в x64dbg
▶️ Видео. Динамический анализ вредоносных файлов формата PE
🗣️ Вебинар. Техники внедрения вредоносного кода
📄 5.3 Создание дампов запущенных процессов исполняемых PE-файлов и восстановление таблицы импорта
⚙️ Практическая работа. Отладка вредоносного PE32+файла в x64dbg
🗣️ Вебинар. Распаковка вредоносного файла с использованием TI-данных

📄 6.1 Техники противодействия анализу вредоносных программ
📄 6.2 Распаковка вредоносных программ
📄 6.3 Деобфускация вредоносных программ
📄 6.4 Обход методов антиотладки и детектирования запуска в изолированной виртуальной среде
⚙️ Практическая работа. Анализ обфусцированного файла
▶️ Видео. Распаковка вредоносных программ

📄 7.1 Архитектура фреймворка .NET
📄 7.2 Компиляция и исполнение .NET-приложений
📄 7.3 Особенности формата .NET-приложения
📄 7.4 Анализ .NET-приложений в dnspy
📄 7.5 Анализ .NET-приложений в ILSpy
📄 7.6 Деобфускация .NET-приложений

⚙️ Практическая работа. Анализ вредоносного .NET-приложения
▶️ Видео. Деобфускация вредоносных .NET-приложений
🗣️ Вебинар. Исследование вредоносных Golang,Python исполняемых файлов

📄 8.1 Технология OLE и формат OLE
📄 8.2 Файлы формата OOXML и RTF
📄 8.3 Сценарии атак с использованием вредоносных документов
📄 8.4 Анализ вредоносных макросов
📄 8.5 Обзор инструментов и сервисов для анализа вредоносных документов MS Office

⚙️ Практическая работа. Анализ вредоносных офисных документов

📄 9.1 Что такое YARA-правила. Функционал, основы создания YARA-правил
📄 9.2 Проверка ложных срабатываний YARA-правил
📄 9.3 Обзор IOC-сканера LOKI
📄 9.4 Автогенерация YARA-правил
⚙️ Практическая работа. Создание YARA-правил для сортировки и классификации образцов вредоносных программ
🗣️ Вебинар. Искусство создания YARA-правил: лучшие практики и советы

Курс для специалистов ИБ/ИТ с опытом:
- Специалистам по реагированию на инциденты.
- Сотрудникам SOC, TI, DFIR команд.

Для успешного прохождения курса необходимо знать:
Основы языков: C/C++, C#, Python, Visual Basic, Assembler.
Принципы ОС Windows, сетей, ИБ.
Работа с cmd, PowerShell, Wireshark, VirtualBox, hex-редакторами..

В рамках курса вы познакомитесь с инструментами:
- Дизассемблеры/деобфускаторы: Ghidra, x64dbg, ImHex, FLOSS, CFF Explorer, PE-bear, DiE
- .NET/IL: dnSpy, ILSpy, de4dot-cex, .NETReactorSlayer, ExtremeDumper, MegaDumper
- Поведение/мониторинг: Scylla, Autoruns, Procmon, System Informer, FakeNet-NG, Ncat, Wireshark.
- Office/скрипты: oletools, oledump.
- API/трассировка: API Monitor, tiny_tracer.
- IOC/сигнатуры: YARA, Loki, yarGen.
- Хэши/метаданные: HashMyFiles, ExifTool.
- Python
Курс дает практические навыки анализа ВПО для защиты корпоративной инфраструктуры.

Все практические работы выполняются локально на хосте. Необходимое программное обеспечение вы скачаете и установите в процессе обучения по нашим инструкциям.

Для комфортного обучения рекомендуется:
Процессор на архитектуре x86-64 Intel;
100 Гб свободного места на диске;
ОЗУ: минимум 8 Гб оперативной памяти (лучше 16 Гб).

Для успешного завершения курса необходимо выполнить 8 из 12 практических работ. На курсе есть итоговая практическая работа. При ее выполнении потребуются все знания и навыки, полученные в курсе.

Анализ вредоносного ПО (Malware Analysis) позволяет выявлять, изучать и нейтрализовать угрозы до того, как они нанесут вред бизнесу.
С его помощью специалисты:
- обнаруживают вредоносные программы
- исследуют поведение и функционал вредоносного кода
- выявляют методы заражения и распространения атак
- разрабатывают сигнатуры и правила для антивирусов и систем защиты
- оценивают потенциальный ущерб и последствия для инфраструктуры
- помогают предотвращать повторные атаки за счёт улучшения защиты