培訓(xùn)搜索引擎
職場技能
系統(tǒng)內(nèi)核安全訓(xùn)練營(邵老師)
參加對象:研發(fā)程序員;希望了解系統(tǒng)底層的應(yīng)用開發(fā)人員;安全產(chǎn)品經(jīng)理;希望了解內(nèi)核安全技術(shù)的安全測試人員;希望了解安全產(chǎn)品底層原理的安全運維人員;對底層安全有興趣者;對安全對抗和木馬病毒分析查殺感興趣人員公開課編號
GKK5083
主講老師
邵老師
參加費用
6200元
課時安排
2天
近期開課時間
2018-07-19
舉辦地址
加載中...
其他開課時間
- 開課地址: 開課時間:
電話:010-68630945/18610481046 聯(lián)系人:尹老師
公開課大綱
學(xué)員基礎(chǔ)
有一定的C語言和匯編基礎(chǔ)
學(xué)習(xí)過數(shù)據(jù)結(jié)構(gòu)
了解操作系統(tǒng)原理,編譯原理
對軟件開發(fā)過程有基本的概念
師資簡介
由來自于一線安全公司BAT,360等獨當(dāng)一面的技術(shù)大牛專家親自授課:
邵老師安全界著名的C、匯編程序員,長期致力于x86體系架構(gòu)與Windows系統(tǒng)底層技術(shù)的研究與相關(guān)商業(yè)軟件的開發(fā)。是著名的反rootkit工具DarkSpy的作者之一。
在從事程序設(shè)計與開發(fā)期間,主要參與研發(fā)的產(chǎn)品包括:
1.企業(yè)信息防泄密軟件的Windows內(nèi)核驅(qū)動開發(fā)工作
2.著名反Rootkit軟件DarkSpy作者之一
3.某著名上市安全公司系統(tǒng)急救箱研發(fā)主要負(fù)責(zé)人
4.全球首例UEFI_BIOS木馬“諜影”(2017年4月)和著名的BOOTKIT木馬BMW發(fā)現(xiàn)者
5.某著名上市安全公司核心安全委員會成員之一(僅5人)
6. 暢銷書《天書夜讀:從匯編語言到Windows內(nèi)核編程》和《寒江獨釣:windows內(nèi)核安全編程》)(08年度暢銷榜TOP50)(09年度暢銷榜NO.8)作者之一
姚老師 熟悉IDA、Ollydbg、Windbg等調(diào)試逆向工具的使用,具有很強的調(diào)試功底。精通桌面反病毒引擎、網(wǎng)絡(luò)病毒檢測引擎等反病毒技術(shù),過去5年很多時間專注于研發(fā)這個。曾就職于安天,超級巡警。個人作品包括linxerUnpacker 虛擬機脫殼軟件,以及非常著名的XueTr(現(xiàn)在更名為PCHUNTER)ARK工具,幾乎所有的病毒安全工程師都在使用的一款強大的安全工具,用來手工殺毒。
周老師 曾就職于阿里,360,北大計算機研究所。 著有《程序員求職成功路:技術(shù)、求職技巧與軟實力培養(yǎng)》,《電腦系統(tǒng)與數(shù)據(jù)安全防護》,《加密與解密-第4版》(作者之一)等書,創(chuàng)辦了“麥洛克菲”高端IT內(nèi)核安全培訓(xùn)。
培訓(xùn)內(nèi)容
六、課程目標(biāo)
提供內(nèi)核開發(fā)從代碼編寫編譯,到測試和調(diào)試的方法和流程。
通過全過程案例分析,使學(xué)員全面經(jīng)歷內(nèi)核技術(shù)在安全領(lǐng)域的各種應(yīng)用,在邊做邊學(xué)中增強其利用內(nèi)核技術(shù)解決實際安全問題的能力。
對學(xué)員的實際項目進(jìn)行咨詢指導(dǎo),幫助其完善安全產(chǎn)品技術(shù)架構(gòu)。
提供后續(xù)服務(wù),掌握數(shù)字時代學(xué)習(xí)新理念,提升自我學(xué)習(xí)能力。
有一定的C語言和匯編基礎(chǔ)
學(xué)習(xí)過數(shù)據(jù)結(jié)構(gòu)
了解操作系統(tǒng)原理,編譯原理
對軟件開發(fā)過程有基本的概念
師資簡介
由來自于一線安全公司BAT,360等獨當(dāng)一面的技術(shù)大牛專家親自授課:
邵老師安全界著名的C、匯編程序員,長期致力于x86體系架構(gòu)與Windows系統(tǒng)底層技術(shù)的研究與相關(guān)商業(yè)軟件的開發(fā)。是著名的反rootkit工具DarkSpy的作者之一。
在從事程序設(shè)計與開發(fā)期間,主要參與研發(fā)的產(chǎn)品包括:
1.企業(yè)信息防泄密軟件的Windows內(nèi)核驅(qū)動開發(fā)工作
2.著名反Rootkit軟件DarkSpy作者之一
3.某著名上市安全公司系統(tǒng)急救箱研發(fā)主要負(fù)責(zé)人
4.全球首例UEFI_BIOS木馬“諜影”(2017年4月)和著名的BOOTKIT木馬BMW發(fā)現(xiàn)者
5.某著名上市安全公司核心安全委員會成員之一(僅5人)
6. 暢銷書《天書夜讀:從匯編語言到Windows內(nèi)核編程》和《寒江獨釣:windows內(nèi)核安全編程》)(08年度暢銷榜TOP50)(09年度暢銷榜NO.8)作者之一
姚老師 熟悉IDA、Ollydbg、Windbg等調(diào)試逆向工具的使用,具有很強的調(diào)試功底。精通桌面反病毒引擎、網(wǎng)絡(luò)病毒檢測引擎等反病毒技術(shù),過去5年很多時間專注于研發(fā)這個。曾就職于安天,超級巡警。個人作品包括linxerUnpacker 虛擬機脫殼軟件,以及非常著名的XueTr(現(xiàn)在更名為PCHUNTER)ARK工具,幾乎所有的病毒安全工程師都在使用的一款強大的安全工具,用來手工殺毒。
周老師 曾就職于阿里,360,北大計算機研究所。 著有《程序員求職成功路:技術(shù)、求職技巧與軟實力培養(yǎng)》,《電腦系統(tǒng)與數(shù)據(jù)安全防護》,《加密與解密-第4版》(作者之一)等書,創(chuàng)辦了“麥洛克菲”高端IT內(nèi)核安全培訓(xùn)。
培訓(xùn)內(nèi)容
時間 | 內(nèi)容 | 案例實踐與練習(xí) |
Day1 上午 內(nèi)核編程入門 |
第一部分:內(nèi)核模塊代碼編寫,編譯和測試 1. 內(nèi)核安全與技術(shù)概述 2. 內(nèi)核模塊編寫編譯測試 3. 內(nèi)核模塊數(shù)字簽名 第二部分:使用Windbg進(jìn)行內(nèi)核模塊調(diào)試 1. Windbg+虛擬機調(diào)試內(nèi)核模塊 2. 如何下斷點 3. 如何使用調(diào)試命令 4. 如何進(jìn)行藍(lán)屏分析 |
案例練習(xí):組織大家使用內(nèi)核開發(fā)環(huán)境編寫一個簡單的內(nèi)核模塊,并進(jìn)行測試,觀察內(nèi)核模塊輸出結(jié)果。 (注意:內(nèi)核開發(fā)環(huán)境搭建文檔提前發(fā)給大家,提前準(zhǔn)備) 案例練習(xí):讓學(xué)員利用搭建的內(nèi)核調(diào)試環(huán)境,調(diào)試上個練習(xí)中開發(fā)的內(nèi)核模塊。必須學(xué)會符號加載,斷點設(shè)置,單步跟蹤,內(nèi)存查看,藍(lán)屏分析等調(diào)試方法 |
Day1 下午 內(nèi)核編程進(jìn)階 |
第一部分 應(yīng)用層與內(nèi)核層通信 1. 應(yīng)用層API與內(nèi)核分發(fā)函數(shù)關(guān)系 2. 基于緩存通信方式 3. 直接IO,和第三種通信方式 4. 讀寫和IOCONTROL演練 第二部分 內(nèi)核內(nèi)存,字符串,文件,注冊表,多線程 1. 內(nèi)核內(nèi)存分配特點及注意事項 2. 內(nèi)核字符串使用方法 3. 內(nèi)核文件和注冊表訪問方法 4. 內(nèi)核創(chuàng)建多線程及IRQL |
案例練習(xí):利用一個NT驅(qū)動框架模型,給大家實際演示內(nèi)核和應(yīng)用程序通訊的完整過程,觀察從應(yīng)用層發(fā)送讀,寫,控制請求到內(nèi)核層,內(nèi)核是如何處理這些請求的,請求結(jié)果是如何上傳給應(yīng)用層程序的。在應(yīng)用層和內(nèi)核層通信的時候,可以采用的3種通信方式的特點; 代碼分析:通過實際代碼分析如何在內(nèi)核中進(jìn)行內(nèi)存分配,字符串處理,文件注冊表訪問和多線程創(chuàng)建等。 |
Day2 上午 內(nèi)核開發(fā)提高 |
第一部分 內(nèi)核爆搜,強刪與強殺 1. 特征碼與內(nèi)核暴力搜索 2. 驅(qū)動文件強刪例子 3. 驅(qū)動進(jìn)程強殺例子 第二部分驅(qū)動,進(jìn)程,文件,注冊表,網(wǎng)絡(luò)監(jiān)控 1. 驅(qū)動加載監(jiān)控 2. 進(jìn)程創(chuàng)建監(jiān)控 3. 文件系統(tǒng)監(jiān)控minifilter 4. 注冊表系統(tǒng)監(jiān)控 5. 網(wǎng)絡(luò)通信監(jiān)控 |
案例練習(xí):通過幾個實際的項目例子,為大家演示如何利用內(nèi)核技術(shù)進(jìn)行內(nèi)存的暴力搜索,驅(qū)動文件強刪(正在運行中的程序和獨占打開的文件)以及進(jìn)程強刪的例子。 案例練習(xí):通過若干個實際案例,演示如何在系統(tǒng)中利用內(nèi)核技術(shù)來實現(xiàn)驅(qū)動加載、進(jìn)程創(chuàng)建、文件系統(tǒng)訪問、注冊表訪問、網(wǎng)絡(luò)通信等方面的監(jiān)控,維護系統(tǒng)的安全性和可靠性,免受病毒和木馬的破壞。 |
Day2 下午 內(nèi)核高級開發(fā) |
第一部分 主防,云查殺,沙盒 1. 主動防御是什么? 2. 云查殺是如何做到的? 3. 沙盒技術(shù)的原理分析 第二部分 上帝模式:VT技術(shù)與X64HOOK 1. X64系統(tǒng)遇到的安全問題 2. VT技術(shù)原理介紹 3. VT技術(shù)的實際應(yīng)用:X64HOOK |
案例練習(xí):結(jié)合幾個實際例子,讓大家明白主動防御的具體實現(xiàn),云查殺的作用,以及沙盒技術(shù)的應(yīng)用,讓大家明白安全軟件中對內(nèi)核技術(shù)的深入應(yīng)用。 案例練習(xí):通過案例演示,介紹VT技術(shù)的實現(xiàn)原理,系統(tǒng)在VT模式下的運行機制,以及使用VT技術(shù)實現(xiàn)在X64系統(tǒng)下的安全監(jiān)控。 |
Day3 上午 Rootkit與ARK工具對抗 |
第一部分ARK對抗原理 1. ROOTKIT概述 2. ROOTKIT的隱藏機制 3. ARK(Anti-Rootkit)技術(shù)分析 第二部分 ARK工具對Rootkit查殺 1. HOOK檢測 2. 文件檢測 3. 進(jìn)程檢測 4. 驅(qū)動檢測 5. 端口檢測等 |
案例分析:介紹典型的ROOTKIT的運行機制,包括對自己進(jìn)程,文件,端口,注冊表,驅(qū)動的隱藏等,以及ARK工具利用內(nèi)核技術(shù),實現(xiàn)對這些隱藏對象的深入檢測。 案例練習(xí): 結(jié)合強大的ARK工具PCHUNTER,演示PCHUNTER的使用方法,利用里面的各種功能實現(xiàn)對ROOTKIT的完美檢測。 |
Day3 下午 Bootkit查殺與對抗 |
第一部分 Bootkit進(jìn)化發(fā)展 1. 什么是BOOTKIT 2. BOOTKIT的發(fā)展歷史 第二部分 Bootkit分析與查殺 1. BOOTKIT運行機制 2. BOOTKIT的檢測與查殺 3. BOOTKIT最新技術(shù)演變 小結(jié)與答疑 |
案例分析: 通過“鬼影”,“BMW”,“諜影”等復(fù)雜BOOTKIT木馬的演化進(jìn)行詳細(xì)分析,給大家講解BOOTKIT的運行機制,技術(shù)特點以及查殺流程,感受內(nèi)核和底層木馬對抗的激烈與精彩。 |
六、課程目標(biāo)
提供內(nèi)核開發(fā)從代碼編寫編譯,到測試和調(diào)試的方法和流程。
通過全過程案例分析,使學(xué)員全面經(jīng)歷內(nèi)核技術(shù)在安全領(lǐng)域的各種應(yīng)用,在邊做邊學(xué)中增強其利用內(nèi)核技術(shù)解決實際安全問題的能力。
對學(xué)員的實際項目進(jìn)行咨詢指導(dǎo),幫助其完善安全產(chǎn)品技術(shù)架構(gòu)。
提供后續(xù)服務(wù),掌握數(shù)字時代學(xué)習(xí)新理念,提升自我學(xué)習(xí)能力。
上一篇:辦公禮儀、商務(wù)禮儀與專業(yè)形象提升修煉(羅惠依)
下一篇:IT戰(zhàn)略規(guī)劃與企業(yè)架構(gòu)(謝新華)
培訓(xùn)現(xiàn)場
講師培訓(xùn)公告