培訓(xùn)搜索引擎

系統(tǒng)內(nèi)核安全訓(xùn)練營(邵老師)

參加對象:研發(fā)程序員;希望了解系統(tǒng)底層的應(yīng)用開發(fā)人員;安全產(chǎn)品經(jīng)理;希望了解內(nèi)核安全技術(shù)的安全測試人員;希望了解安全產(chǎn)品底層原理的安全運(yùn)維人員;對底層安全有興趣者;對安全對抗和木馬病毒分析查殺感興趣人員

公開課編號 GKK5083
主講老師 邵老師
參加費(fèi)用 6200元
課時安排 2天
近期開課時間 2018-07-19
舉辦地址 加載中...

其他開課時間
  • 開課地址: 開課時間:

公開課大綱
學(xué)員基礎(chǔ)
  有一定的C語言和匯編基礎(chǔ)
  學(xué)習(xí)過數(shù)據(jù)結(jié)構(gòu)
  了解操作系統(tǒng)原理,編譯原理
  對軟件開發(fā)過程有基本的概念
 
師資簡介
由來自于一線安全公司BAT,360等獨(dú)當(dāng)一面的技術(shù)大牛專家親自授課:
邵老師安全界著名的C、匯編程序員,長期致力于x86體系架構(gòu)與Windows系統(tǒng)底層技術(shù)的研究與相關(guān)商業(yè)軟件的開發(fā)。是著名的反rootkit工具DarkSpy的作者之一。
在從事程序設(shè)計(jì)與開發(fā)期間,主要參與研發(fā)的產(chǎn)品包括:
1.企業(yè)信息防泄密軟件的Windows內(nèi)核驅(qū)動開發(fā)工作
2.著名反Rootkit軟件DarkSpy作者之一
3.某著名上市安全公司系統(tǒng)急救箱研發(fā)主要負(fù)責(zé)人
4.全球首例UEFI_BIOS木馬“諜影”(2017年4月)和著名的BOOTKIT木馬BMW發(fā)現(xiàn)者
5.某著名上市安全公司核心安全委員會成員之一(僅5人)
6. 暢銷書《天書夜讀:從匯編語言到Windows內(nèi)核編程》和《寒江獨(dú)釣:windows內(nèi)核安全編程》)(08年度暢銷榜TOP50)(09年度暢銷榜NO.8)作者之一
姚老師  熟悉IDA、Ollydbg、Windbg等調(diào)試逆向工具的使用,具有很強(qiáng)的調(diào)試功底。精通桌面反病毒引擎、網(wǎng)絡(luò)病毒檢測引擎等反病毒技術(shù),過去5年很多時間專注于研發(fā)這個。曾就職于安天,超級巡警。個人作品包括linxerUnpacker 虛擬機(jī)脫殼軟件,以及非常著名的XueTr(現(xiàn)在更名為PCHUNTER)ARK工具,幾乎所有的病毒安全工程師都在使用的一款強(qiáng)大的安全工具,用來手工殺毒。
周老師  曾就職于阿里,360,北大計(jì)算機(jī)研究所。 著有《程序員求職成功路:技術(shù)、求職技巧與軟實(shí)力培養(yǎng)》,《電腦系統(tǒng)與數(shù)據(jù)安全防護(hù)》,《加密與解密-第4版》(作者之一)等書,創(chuàng)辦了“麥洛克菲”高端IT內(nèi)核安全培訓(xùn)。
 
培訓(xùn)內(nèi)容
時間 內(nèi)容 案例實(shí)踐與練習(xí)
Day1
上午
 
內(nèi)核編程入門
第一部分:內(nèi)核模塊代碼編寫,編譯和測試
1.        內(nèi)核安全與技術(shù)概述
2.        內(nèi)核模塊編寫編譯測試
3.        內(nèi)核模塊數(shù)字簽名
 
第二部分:使用Windbg進(jìn)行內(nèi)核模塊調(diào)試
1.        Windbg+虛擬機(jī)調(diào)試內(nèi)核模塊
2.        如何下斷點(diǎn)
3.        如何使用調(diào)試命令
4.        如何進(jìn)行藍(lán)屏分析
案例練習(xí):組織大家使用內(nèi)核開發(fā)環(huán)境編寫一個簡單的內(nèi)核模塊,并進(jìn)行測試,觀察內(nèi)核模塊輸出結(jié)果。
(注意:內(nèi)核開發(fā)環(huán)境搭建文檔提前發(fā)給大家,提前準(zhǔn)備)
案例練習(xí):讓學(xué)員利用搭建的內(nèi)核調(diào)試環(huán)境,調(diào)試上個練習(xí)中開發(fā)的內(nèi)核模塊。必須學(xué)會符號加載,斷點(diǎn)設(shè)置,單步跟蹤,內(nèi)存查看,藍(lán)屏分析等調(diào)試方法
Day1
下午
 
內(nèi)核編程進(jìn)階
第一部分  應(yīng)用層與內(nèi)核層通信
1.        應(yīng)用層API與內(nèi)核分發(fā)函數(shù)關(guān)系
2.        基于緩存通信方式
3.        直接IO,和第三種通信方式
4.        讀寫和IOCONTROL演練
 
第二部分  內(nèi)核內(nèi)存,字符串,文件,注冊表,多線程
1.        內(nèi)核內(nèi)存分配特點(diǎn)及注意事項(xiàng)
2.        內(nèi)核字符串使用方法
3.        內(nèi)核文件和注冊表訪問方法
4.        內(nèi)核創(chuàng)建多線程及IRQL
案例練習(xí):利用一個NT驅(qū)動框架模型,給大家實(shí)際演示內(nèi)核和應(yīng)用程序通訊的完整過程,觀察從應(yīng)用層發(fā)送讀,寫,控制請求到內(nèi)核層,內(nèi)核是如何處理這些請求的,請求結(jié)果是如何上傳給應(yīng)用層程序的。在應(yīng)用層和內(nèi)核層通信的時候,可以采用的3種通信方式的特點(diǎn);
 
代碼分析:通過實(shí)際代碼分析如何在內(nèi)核中進(jìn)行內(nèi)存分配,字符串處理,文件注冊表訪問和多線程創(chuàng)建等。
Day2
上午
 
內(nèi)核開發(fā)提高
第一部分  內(nèi)核爆搜,強(qiáng)刪與強(qiáng)殺
1.        特征碼與內(nèi)核暴力搜索
2.        驅(qū)動文件強(qiáng)刪例子
3.        驅(qū)動進(jìn)程強(qiáng)殺例子
第二部分驅(qū)動,進(jìn)程,文件,注冊表,網(wǎng)絡(luò)監(jiān)控
1.        驅(qū)動加載監(jiān)控
2.        進(jìn)程創(chuàng)建監(jiān)控
3.        文件系統(tǒng)監(jiān)控minifilter
4.        注冊表系統(tǒng)監(jiān)控
5.        網(wǎng)絡(luò)通信監(jiān)控
案例練習(xí):通過幾個實(shí)際的項(xiàng)目例子,為大家演示如何利用內(nèi)核技術(shù)進(jìn)行內(nèi)存的暴力搜索,驅(qū)動文件強(qiáng)刪(正在運(yùn)行中的程序和獨(dú)占打開的文件)以及進(jìn)程強(qiáng)刪的例子。
案例練習(xí):通過若干個實(shí)際案例,演示如何在系統(tǒng)中利用內(nèi)核技術(shù)來實(shí)現(xiàn)驅(qū)動加載、進(jìn)程創(chuàng)建、文件系統(tǒng)訪問、注冊表訪問、網(wǎng)絡(luò)通信等方面的監(jiān)控,維護(hù)系統(tǒng)的安全性和可靠性,免受病毒和木馬的破壞。
Day2
下午
 
內(nèi)核高級開發(fā)
第一部分  主防,云查殺,沙盒
1.        主動防御是什么?
2.        云查殺是如何做到的?
3.        沙盒技術(shù)的原理分析
第二部分  上帝模式:VT技術(shù)與X64HOOK
1.        X64系統(tǒng)遇到的安全問題
2.        VT技術(shù)原理介紹
3.        VT技術(shù)的實(shí)際應(yīng)用:X64HOOK
案例練習(xí):結(jié)合幾個實(shí)際例子,讓大家明白主動防御的具體實(shí)現(xiàn),云查殺的作用,以及沙盒技術(shù)的應(yīng)用,讓大家明白安全軟件中對內(nèi)核技術(shù)的深入應(yīng)用。
案例練習(xí):通過案例演示,介紹VT技術(shù)的實(shí)現(xiàn)原理,系統(tǒng)在VT模式下的運(yùn)行機(jī)制,以及使用VT技術(shù)實(shí)現(xiàn)在X64系統(tǒng)下的安全監(jiān)控。
Day3
上午
 
Rootkit與ARK工具對抗
第一部分ARK對抗原理
1.        ROOTKIT概述
2.        ROOTKIT的隱藏機(jī)制
3.        ARK(Anti-Rootkit)技術(shù)分析
第二部分  ARK工具對Rootkit查殺
1.        HOOK檢測
2.        文件檢測
3.        進(jìn)程檢測
4.        驅(qū)動檢測
5.        端口檢測等
案例分析:介紹典型的ROOTKIT的運(yùn)行機(jī)制,包括對自己進(jìn)程,文件,端口,注冊表,驅(qū)動的隱藏等,以及ARK工具利用內(nèi)核技術(shù),實(shí)現(xiàn)對這些隱藏對象的深入檢測。
案例練習(xí):
結(jié)合強(qiáng)大的ARK工具PCHUNTER,演示PCHUNTER的使用方法,利用里面的各種功能實(shí)現(xiàn)對ROOTKIT的完美檢測。
Day3
下午
 
Bootkit查殺與對抗
第一部分  Bootkit進(jìn)化發(fā)展
1.   什么是BOOTKIT
2.   BOOTKIT的發(fā)展歷史
第二部分  Bootkit分析與查殺
1.        BOOTKIT運(yùn)行機(jī)制
2.        BOOTKIT的檢測與查殺
3.        BOOTKIT最新技術(shù)演變
小結(jié)與答疑
案例分析:
通過“鬼影”,“BMW”,“諜影”等復(fù)雜BOOTKIT木馬的演化進(jìn)行詳細(xì)分析,給大家講解BOOTKIT的運(yùn)行機(jī)制,技術(shù)特點(diǎn)以及查殺流程,感受內(nèi)核和底層木馬對抗的激烈與精彩。
 
六、課程目標(biāo)
  提供內(nèi)核開發(fā)從代碼編寫編譯,到測試和調(diào)試的方法和流程。
  通過全過程案例分析,使學(xué)員全面經(jīng)歷內(nèi)核技術(shù)在安全領(lǐng)域的各種應(yīng)用,在邊做邊學(xué)中增強(qiáng)其利用內(nèi)核技術(shù)解決實(shí)際安全問題的能力。
  對學(xué)員的實(shí)際項(xiàng)目進(jìn)行咨詢指導(dǎo),幫助其完善安全產(chǎn)品技術(shù)架構(gòu)。
  提供后續(xù)服務(wù),掌握數(shù)字時代學(xué)習(xí)新理念,提升自我學(xué)習(xí)能力。

上一篇:辦公禮儀、商務(wù)禮儀與專業(yè)形象提升修煉(羅惠依)
下一篇:IT戰(zhàn)略規(guī)劃與企業(yè)架構(gòu)(謝新華)

培訓(xùn)現(xiàn)場