Большинство компьютерных преступлений в современном мире совершается с использованием вредоносных программ. Вместе с тем, в связи с быстрым развитием технологий вредоносного кода, антивирусные программы не всегда способны вовремя обнаружить или удалить вредоносный код. Поэтому, когда речь идет о защите критичной информации, антивирус – необходимое, но не достаточное звено защиты.
Фундамент любой безопасности – это, в первую очередь, люди: грамотные, хорошо ориентирующиеся в современных угрозах специалисты, способные рано распознать признаки компрометации системы, самостоятельно произвести ее диагностику, сориентироваться в дальнейших действиях по расследованию инцидента.
Данный курс представляет собой практический тренинг, посвященный теоретическим и прикладным основам защиты от вредоносного кода.
Курс разработан Лабораторией информационной безопасности «eSage Lab».
- Повышение и актуализация уровня знаний слушателей в области угроз, связанных с вредоносным кодом
- Предоставление технической информации о наиболее актуальных вредоносных программах на момент обучения и мерах противодействия им
- Выработка навыков самостоятельной диагностики и лечения операционной системы
- Обучение фундаментальным основам анализа вредоносного кода
После прохождения обучения слушатели будут уметь:
- Ориентироваться в современных информационных угрозах, имеющих отношение к вредоносному коду
- Ориентироваться в профессиональных инструментах для выявления и анализа вредоносных программ
- Самостоятельно, вручную производить диагностику операционной системы
- Проверять систему на предмет присутствия скрытых вредоносных программ (руткитов)
- Локализовать и ликвидировать популярные разновидности вредоносных программ
- Производить поверхностный анализ файлов на предмет наличия в них вредоносных функций
- Обеспечить максимальную защиту от заражения при помощи встроенных средств операционной системы
- Системные администраторы
- Специалисты службы технической поддержки
- ИТ-специалисты, ответственные за практическое обеспечение компьютерной безопасности внутри организации
- Базовые знания об архитектуре Microsoft Windows семейства NT
- Базовые навыки системного администрирования
- Понимание общих принципов программирования
- Ключевые схемы и таблицы курса
- Список дополнительной литературы
- Диск с программами, использованными в ходе обучения
Лаборатория информационной безопасности (eSage Lab) – первая российская компания, специализирующаяся на поиске целевых шпионских программ и анализе безопасности приложений. Исследовательская деятельность Лаборатории включает в себя анализ наиболее передовых технологий вредоносного кода, разработку бесплатных антивирусных утилит, публикации в российских и зарубежных изданиях. Одно из основных направлений деятельности компании – разработка семинаров и учебных курсов по прикладным аспектам информационной безопасности.
Программа обучения состоит из тематических блоков продолжительностью по 1,5 часа. В рамках каждого блока рассматривается фундаментальная теория по данной теме, производится анализ примеров и выполняются практические задания. Между блоками – перерывы не менее 15 минут.
День 1. Диагностика, лечение и защита системы.
Раздел 1. Введение
- Краткая история эволюции вредоносных программ
- Виды и модели современных угроз безопасности
- Мифы о вредоносных программах
- Анализ последних эпидемий и часто упоминаемых вредоносных программ
- Принципы функционирования антивирусной защиты
Раздел 2. Базовая диагностика потенциально зараженной системы
- Модель зараженной системы: виды заражения, точки старта вредоносного кода, самозащита вредоносного кода
- Ключевые точки диагностики
- Работа с диагностическими утилитами и программами для сбора информации о системе
- Общий алгоритм проверки системы
Раздел 3. Работа с зараженной системой
- Признаки вредоносной активности в системе
- Изучение типичных сценариев заражения
- Локализация и извлечение вредоносных объектов
- Восстановление чистоты системы
Раздел 4. Работа с антируткитами
- Модель функционирования руткита
- Признаки заражения системы руткитом
- Необходимые сведения об архитектуре Windows NT
- Основы работы с утилитами-антируткитами
Раздел 5. Обеспечение максимальной защиты
- Определение основных векторов заражения и соответствующих им рисков безопасности
- Оптимизация политики безопасности с использованием штатных защиты средств операционной системы
- Принципы эффективного использования вспомогательных защитных средств (диагностических утилит, проактивной защиты, фаерволов и др.)
День 2. Анализ вредоносного кода.
Раздел 6. Вводная часть
- Типы вредоносных объектов
- Варианты вредоносного функционала
- Развертка тестовой среды для исследования программ
- Основные инструменты для анализа файлов
Раздел 7. Первичный источник заражения. Анализ HTML-страниц и скриптов
- Принципы функционирования и задачи вредоносных скриптов
- Анализ типичных скриптовых вредоносных программ
- Основы деобфускации - расшифровки запутанного кода скрипта
Раздел 8. Популярные «переносчики» вредоносного кода. Анализ файлов PDF и Flash
- Принципы функционирования вредоносных документов
- Структура форматов PDF и Flash
- Работа с утилитами
- Анализ наиболее распространенных вредоносных документов
Раздел 9. Основы анализа исполняемых файлов
- Онлайн-сервисы и утилиты для автоматизации процесса анализа файловм
- Структура исполняемого файла
- Принципы быстрого выявления подозрительного функционала
- Основы реверс-инжиниринга
