コース概要 このコースをクリップ
マルウェア解析ハンズオン専門演習コース~解析環境検知機能無効化(Ghidraを用いて)~
| コースコード | SN483 |
|---|---|
| 受講料 |
440,000円(税込) /400,000円(税抜) |
| 講習日数 | 2日間 |
| 開始日 (申込締切前) |
東京 2月16日 |
マルウェア解析ハンズオン専門コースの上位コースです。
マルウェア解析を難しくしている耐解析機能(パッキング、解析環境検知、難読化)に対して、解析能力のレベルアップを目的とした実践的な対応方法を学ぶ演習主体のコースです。
また、本コースでは、Ghidraを用いた解析も行います。
- マルウェアの耐解析機能に対して、より具体的な対応手法を自ら考え対応できるようになる。
- 最適なデバッガを取捨選択できるようになる。
- アセンブラを読み解けるようになる。
- マルウェアが使用するが入手できない関連ファイルに対して、コードから役割や内容を推定できる。
以下のいずれかを満たしている方。
・「マルウェア解析ハンズオン専門コース」を修了された方
・マルウェアの耐解析機能(パッキング、解析環境検知、難読化)の大まかな効果と対応の方針を理解している方
※本講演ではデバッガを駆使したマルウェア解析を行いますので、一般的なデバッガとその操作要項を理解しておくとよりスムーズに理解できるようになります。
※使い方については各ツールを公開するサイトのドキュメントや、以下のような書籍を参考にしてください。
- デバッガによるx86プログラム解析入門
著者:Digital Travesia管理人 うさぴょん
- 初めてのマルウェア解析―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
著者:Monnappa K A 著、石川 朝久 訳、北原 憲、中津留 勇 技術監修
- The IDA Pro Book, by Chris Eagle
| 1日目 | AM | 1.懐かしの銀行系マルウェア_1 ・マニュアルアンパック実践 ・IDAを用いた静的解析 ・耐解析機能の確認 ・デバッガーを用いた解析環境検知機能の無効化 ・Wireshark等を用いた通信先の特定 2.ランサムウェアのイメージを掴む GUIベースのランサムウェアを用いて、ランサムウェアの基本的な挙動について学びます。 ・プロセス等の確認 ・暗号化する拡張子を調査 |
PM | 3.懐かしの銀行系マルウェア_2 ・ツールを用いた挿入されたコードの確認 ・インジェクションされたプロセスへのアタッチ方法 4.最近のランサムウエアを解析してみよう ・ツールを用いた挿入されたコードの確認 ・インジェクションされたプロセスへのアタッチ方法 | |
| 2日目 | AM | 5.Ghidra操作方法説明と操作演習 ・Ghidraの基本的な操作を説明 ・Ghidraを用いた耐解析機能回避 6.難読化コードへの対応 ・難読化コードとその特徴 ・難読化の解除方法の立案 ・難読化の解除実践 |
PM | 7.難読化対応演習 ・難読化の解除実践 8.耐解析機能をGhidraを用いて解析してみよう1 ・Ghidraを用いた耐解析機能回避 9.耐解析機能をGhidraを用いて解析してみよう2 ・Ghidraを用いた耐解析機能回避 |
・本コースは株式会社ラックとの提携コースであり、コース実施のためのお客様の個人情報を提携会社に提供させていただきます。
・講義時間は10:00~17:30です。
・ラック社では、オープンバッジ(デジタル証明書)を採用しています。
送付先は個人アドレスのみ、となりますので、お申込時の受講者E-mailアドレスは、受講者ご本人の個人アドレスでお申込みいただけますようお願いいたします。
※個人アドレスをお持ちでいない方には、PDFによる修了証の発行が可能ですので、申込時の最後の備考欄へその旨お書き添えください。
■情報処理安全確保支援士 特定講習として受講の方へ■
本講習会は、「特定講習」として認められています。
情報処理安全確保支援士の資格維持のために受講される方も、通常通りお申込みください。
なお、下記が特定講習の要件となりますので必ずご確認ください。
・事前申告
特定講習は受講前に、メールによる事前申告が必要です。
申し込み後、開催7営業日前にお送りする「受講案内」にて
申告方法をご案内しますので必ず事前申告をお願いします。
・本人確認
受講当日は、IPA規程によりご本人確認をさせていただきます。
顔写真付きの身分証明書と登録証カードをご持参ください。
修了証は最終日に講師から受講者様へ直接お渡しします。