Mục tiêu của khóa đào tạo
Học cách sử dụng các công cụ phục vụ cho quá trình ứng cứu sự cố, bóc gỡ mã độc. Sau khi hoàn thành khóa học, người tham gia sẽ có thể hiểu:
- Phân tích, gỡ lỗi và loại bỏ bất kỳ phần mềm độc hại nào một cách an toàn.
- Thiết lập một môi trường ảo hóa an toàn để phục vụ cho việc phân tích phần mềm độc hại.
- Nhanh chóng trích xuất thông tin, dữ liệu liên quan đến malware
- Sử dụng các công cụ phân tích malware động và tĩnh cũng như hiểu biết tổng thể về các công cụ phân tích phần mềm độc hại hiện có được sử dụng ngày nay.
- Hiểu được các thủ thuật của phần mềm độc hại như kỹ thuật che giấu, ẩn nấp của malware, cách thức xâm nhập vào hệ thống.
- Phát triển tư duy theo phương pháp luận và có được kinh nghiệm thực tế trong việc phân tích, tìm hiểu phần mềm độc hại.
Nội dung triển khai:
|
Ngày 1
|
Đào tạo, tư vấn huấn luyện an ninh thông tin
- Giới thiệu về malware, hiểu và nhận dạng các dòng malware
- Hướng dẫn xây dựng môi trường phân tích mã độc
- Hướng dẫn sử dụng các môi trường phân tích malware offline, online
- Virus total, anyrun, hybrid analsys…
- Cách nhận dạng malware, phân biệt các tiến trình malware độc hại và các tiến trình hợp lệ.
- Cách tìm kiếm, đọc các thông tin về malware (MD5, SHA), phân tích, tìm kiếm các mối đe dọa, an ninh tiềm tàng.
- Giới thiệu về máy chủ C&C điều khiển mã độc.
- Phân tích các thuộc tính của malware, minh họa giới thiệu một số dòng malware.
- Giới thiệu về document malware, các kỹ thuật phân tích malware doc
- Giới thiệu, hướng dẫn các công cụ phục vụ phân tích mã độc
- Phân tích động: Sysinternal Tools (Process Explore, Autoruns, Process Monitor, Regshot, PE Studio…)
- Phân tích tĩnh: Giới thiệu về IDA, strings, oledump,…
|
|
Ngày 2
|
Diễn tập thực hành
- Trình bày quy trình ứng cứu sự cố, bóc gỡ malware
- Trình bày Kịch bản ứng cứu sự cố mã độc
- Diễn tập thực hành phân tích, ứng cứu sự cố malware
- Hướng dẫn, phân tích tình huống theo kịch bản ứng cứu mã độc
- Tổng kết, trao đổi, đưa ra bài học kinh nghiệm
|
