课程:B站安天逆向
教学内容:
1.基本概念、方法、应用领域及实例分析
2.常见文件格式介绍,重点掌握PE文件格式
3.WIN32API常见接口服务实现原理
4.关键汇编指令机理和分析工程
5.网络流量数据分析,动静态分析技术及工具
6.被分析对象的算法识别
7.加壳与脱壳技术
8.辅助分析脚本及插件
9.恶意代码分类规则和运行原理
10.恶意代码的演进与对抗技术
实验内容:
1.挑战文件格式
2.探索窗体消息和API
3.CrackGame
4.分析流量抓间谍
5.破解加密算法
6.手工脱壳
7.为调试器编写脚本
8.简单木马分析
9.恶意代码综合分析
APT
什么是APT?
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。(特点是有针对性,持续时间长)
APT分析框架:
NSA/CSS网空威胁框架
攻击行动还原:
准备->突破(把木马投递给攻击目标)->存在(让木马在目标机上潜伏下来)->影响(窃取信息)->持续(维护)->管理
逆向工程应用领域
标注星号的可能有法律危险
| 竞赛 | 学习借鉴 | 软件维护 | 网空威胁对抗 |
|---|---|---|---|
| RE | 算法 | 完善功能 | 安全评估 |
| PWN | 破解* | 查找漏洞 | 威胁检测 |
| 制作补丁* | 特征提取 | ||
| 攻击溯源 |
白象一代攻击:
通过软件时间戳确定时区
PDB:程序数据库文件,以此来查询攻击实施者身份
常用软件:
想解析PE文件用 PEID 或者 StudPE
file :识别文件格式和编码
binwalk :在file的基础上,还支持拆解(这俩在LINUX和MAC上都是内置的命令)
行为监测 :