Выберите удобное для вас число,
запишитесь на курс, заполнив простую форму
Введение в анализ вредоносного ПО. Статический и динамический анализ. Создание безопасной среды для анализа. Инструменты отладки и анализа вредоносного программного обеспечения. Обратная разработка загрузчиков первого этапа и второго этапа, анализ макросов (docx, xls). Введение во вредоносные программы, которые загружают исполняемую полезную нагрузку (PE exe-программы) по определённому событию. Рассмотрение различного шпионского программного обеспечения
Предварительные требования
Курс предназначен для специалистов по информационной безопасности, аналитиков SOC, специалистов по реагированию на инциденты (Incident Response), системных администраторов и инженеров по кибербезопасности.
Для успешного освоения программы рекомендуется:
понимание архитектуры ОС Windows;
базовые знания сетевых технологий;
понимание жизненного цикла вредоносного ПО и основных угроз информационной безопасности;
опыт работы с инструментами администрирования Windows.
Модуль 1. Введение в анализ вредоносного ПО
Классификация вредоносного ПО: трояны, черви, бэкдоры, ransomware, загрузчики.
Статический анализ: сигнатуры, хэши, строки, PE-структура, импорты/экспорты.
Динамический анализ: мониторинг процессов, файлов, реестра, сети.
Sandbox-среды: REMnux, FlareVM, Cuckoo, ANY.RUN.
VirusTotal: возможности, API, ограничения.
Настройка безопасной лаборатории (изолированные ВМ, host-only NAT, snapshots)
Модуль 2. Загрузчики первого этапа (Stage 1 loaders) – макросы
Форматы Office с поддержкой макросов: .docm, .dotm, .xlsm, .pptm.
Модель угроз: социальная инженерия.
Обфускация VBA: перемешивание строк, вызов Application.Run, использование Shell, WScript.Shell, CreateObject.
Дропперы: запись PE-файла в TEMP и его запуск.
Инструменты для извлечения и анализа макросов: oledump, oletools (vipermonkey), pcodedmp.
Модуль 3. Загрузчики второго этапа (Stage 2) – PE, unpacking, persistence
Анализ загруженного PE: точки входа, импорты, секции, подписи.
Упаковщики (UPX, ASPack, Themida, VMProtect) - как их определить и распаковать.
Ручная распаковка с помощью x64dbg (найти OEP, дамп, восстановить IAT).
Методы закрепления (persistence):
Реестр: Run, RunOnce, AppInit_DLLs, Winlogon.
Планировщик задач (schtasks).
Автозагрузка через Startup папку, WMI Event Subscription.
Службы (SCM).
Модуль 4. Внедрение процесса. DLL / PE Injection
Зачем нужно внедрение: обход firewall, маскировка, persistence через легитимные процессы.
Классические методы:
DLL Injection: OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread.
Process Hollowing (замена кода в остановленном процессе).
AtomBombing, Process Doppelgänging (обзорно).
Поиск инжектов: VAD tree, просмотр списка загруженных DLL (Process Explorer, Volatility).
Запуск PE из памяти (без записи на диск) — отражённая загрузка (Reflective DLL).
Модуль 5. Внедрение процесса. API Hooking & продвинутые техники
Windows API Hooking как метод контроля и перехвата (userland + kernel).
Перехват в user-mode: замена байтов пролога (jmp/CALL), IAT hooking, Inline hooking, VTable hooking.
Примеры: зловред, перехватывающий NtCreateProcess или NtReadVirtualMemory.
Обход хуков: прямой системный вызов (syscall), удаление хуков.
Модуль 6. Анти-анализ. Обнаружение сред, обфускация
Обнаружение виртуальных машин: VM detection (CPUID, MAC, артефакты реестра, heartbeat).
Обнаружение sandbox: задержки (Sleep, NtDelayExecution), проверка размера диска, поиск известных процессов-анализаторов.
Обфускация кода и данных: шифрование строк, мусорный код, мутация, полиморфизм.
Контроль потока: непрямые переходы, мёртвый код.
Анти-отладка: IsDebuggerPresent, NtQueryInformationProcess, CheckRemoteDebuggerPresent, SEH-трюки, тайминговые атаки (rdtsc).
Модуль 7. Анти-анализ. Persistence и скрытность
Скрытность от анализаторов: удаление артефактов (очистка логов событий, wevtutil).
Альтернативные потоки данных NTFS (ADS) для сокрытия кода/данных.
Использование легитимных инструментов (LOLBins) для загрузки/выполнения.
Rootkit-методы (обзорно): DKOM, SSDT hooks, callback-обходы.
Защита persistence от удаления:
Несколько точек закрепления.
Восстановление из другого процесса.
Использование WMI Permanent Event Subscription.
Модуль 8. Внутреннее устройство: черви, шпионское ПО
Черви (worms): самовоспроизведение через сетевые ресурсы (SMB, email, USB).
Использование CreateService, копирование на открытые шары (net share).
Пример: Stuxnet, Conficker.
Шпионское ПО (spyware):
Кейлоггеры (SetWindowsHookEx, GetAsyncKeyState).
Похитители данных из браузеров (Chrome/Edge SQLite базы, cookies).
Сканеры документов и экрана.
Комбинации техник (червь + шпион + загрузчик второй стадии).