Казахстан, г. Алматы, ул. Шевченко 90, БЦ «Каратал», офис 53
Казахстан, г. Астана, ул. Иманова 19, БЦ Деловой Дом "Алма-Ата", офис 612

Даты проведения курса

Выберите удобное для вас число,
запишитесь на курс, заполнив простую форму

город: Online
06.07.2026
-
10.07.2026 Идет набор группы
записаться на курс
направление: Информационная безопасность кол-во дней: 5
кол-во часов: 40
код курса: SBT-08

Введение в анализ вредоносного ПО. Статический и динамический анализ. Создание безопасной среды для анализа. Инструменты отладки и анализа вредоносного программного обеспечения. Обратная разработка загрузчиков первого этапа и второго этапа, анализ макросов (docx, xls). Введение во вредоносные программы, которые загружают исполняемую полезную нагрузку (PE exe-программы) по определённому событию. Рассмотрение различного шпионского программного обеспечения

Предварительные требования

Курс предназначен для специалистов по информационной безопасности, аналитиков SOC, специалистов по реагированию на инциденты (Incident Response), системных администраторов и инженеров по кибербезопасности.

Для успешного освоения программы рекомендуется:

  • понимание архитектуры ОС Windows;

  • базовые знания сетевых технологий;

  • понимание жизненного цикла вредоносного ПО и основных угроз информационной безопасности;

  • опыт работы с инструментами администрирования Windows.

Модуль 1. Введение в анализ вредоносного ПО

  • Классификация вредоносного ПО: трояны, черви, бэкдоры, ransomware, загрузчики.

  • Статический анализ: сигнатуры, хэши, строки, PE-структура, импорты/экспорты.

  • Динамический анализ: мониторинг процессов, файлов, реестра, сети.

  • Sandbox-среды: REMnux, FlareVM, Cuckoo, ANY.RUN.

  • VirusTotal: возможности, API, ограничения.

  • Настройка безопасной лаборатории (изолированные ВМ, host-only NAT, snapshots)

Модуль 2. Загрузчики первого этапа (Stage 1 loaders) – макросы

  • Форматы Office с поддержкой макросов: .docm, .dotm, .xlsm, .pptm.

  • Модель угроз: социальная инженерия.

  • Обфускация VBA: перемешивание строк, вызов Application.Run, использование Shell, WScript.Shell, CreateObject.

  • Дропперы: запись PE-файла в TEMP и его запуск.

  • Инструменты для извлечения и анализа макросов: oledump, oletools (vipermonkey), pcodedmp.

Модуль 3. Загрузчики второго этапа (Stage 2) – PE, unpacking, persistence

  • Анализ загруженного PE: точки входа, импорты, секции, подписи.

  • Упаковщики (UPX, ASPack, Themida, VMProtect) - как их определить и распаковать.

  • Ручная распаковка с помощью x64dbg (найти OEP, дамп, восстановить IAT).

  • Методы закрепления (persistence):

  • Реестр: Run, RunOnce, AppInit_DLLs, Winlogon.

  • Планировщик задач (schtasks).

  • Автозагрузка через Startup папку, WMI Event Subscription.

  • Службы (SCM).

Модуль 4. Внедрение процесса.  DLL / PE Injection

  • Зачем нужно внедрение: обход firewall, маскировка, persistence через легитимные процессы.

  • Классические методы:

    • DLL Injection: OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread.

    • Process Hollowing (замена кода в остановленном процессе).

    • AtomBombing, Process Doppelgänging (обзорно).

  • Поиск инжектов: VAD tree, просмотр списка загруженных DLL (Process Explorer, Volatility).

  • Запуск PE из памяти (без записи на диск) — отражённая загрузка (Reflective DLL).

Модуль 5. Внедрение процесса.  API Hooking & продвинутые техники

  • Windows API Hooking как метод контроля и перехвата (userland + kernel).

  • Перехват в user-mode: замена байтов пролога (jmp/CALL), IAT hooking, Inline hooking, VTable hooking.

  • Примеры: зловред, перехватывающий NtCreateProcess или NtReadVirtualMemory.

  • Обход хуков: прямой системный вызов (syscall), удаление хуков.

Модуль 6. Анти-анализ. Обнаружение сред, обфускация

  • Обнаружение виртуальных машин: VM detection (CPUID, MAC, артефакты реестра, heartbeat).

  • Обнаружение sandbox: задержки (Sleep, NtDelayExecution), проверка размера диска, поиск известных процессов-анализаторов.

  • Обфускация кода и данных: шифрование строк, мусорный код, мутация, полиморфизм.

  • Контроль потока: непрямые переходы, мёртвый код.

  • Анти-отладка: IsDebuggerPresent, NtQueryInformationProcess, CheckRemoteDebuggerPresent, SEH-трюки, тайминговые атаки (rdtsc).

Модуль 7. Анти-анализ. Persistence и скрытность

  • Скрытность от анализаторов: удаление артефактов (очистка логов событий, wevtutil).

  • Альтернативные потоки данных NTFS (ADS) для сокрытия кода/данных.

  • Использование легитимных инструментов (LOLBins) для загрузки/выполнения.

  • Rootkit-методы (обзорно): DKOM, SSDT hooks, callback-обходы.

  • Защита persistence от удаления:

    • Несколько точек закрепления.

    • Восстановление из другого процесса.

    • Использование WMI Permanent Event Subscription.

Модуль 8. Внутреннее устройство: черви, шпионское ПО

  • Черви (worms): самовоспроизведение через сетевые ресурсы (SMB, email, USB).

  • Использование CreateService, копирование на открытые шары (net share).

  • Пример: Stuxnet, Conficker.

  • Шпионское ПО (spyware):

  • Кейлоггеры (SetWindowsHookEx, GetAsyncKeyState).

  • Похитители данных из браузеров (Chrome/Edge SQLite базы, cookies).

  • Сканеры документов и экрана.

  • Комбинации техник (червь + шпион + загрузчик второй стадии).