恶意软件分析基础
通过以受控且系统化的方式检查可疑二进制文件,学习恶意软件分析的基础知识。安全团队通常需要针对已恢复的可执行文件快速回答以下问题:它是什么?它试图做什么?它触及了哪些文件?它的危险程度如何?本课程将教你如何通过实用的 Linux 工具,利用静态和动态分析方法来获取这些答案。
为什么这很重要
恶意软件分析并不总是从完整的逆向工程开始。在许多情况下,首要任务是快速且安全地对未知二进制文件进行分类(Triage)。这意味着在执行前提取有用的信号,然后密切观察其运行时行为,以充分了解威胁。
本课程专注于这一分类工作流程。你将对二进制文件进行静态检查,动态追踪其系统和库活动,并将这些发现整合起来,从而更清晰地了解其行为和意图。
你将学到什么
- 在不执行的情况下对可疑二进制文件进行静态分析。
- 提取字符串、哈希值、架构详情以及其他有用的恶意软件指标。
- 使用
strace监控系统调用和可观察的运行时行为。 - 使用
ltrace检查库级别的行为和隐藏的程序逻辑。 - 构建一个平衡安全性与实用洞察力的基础恶意软件分析工作流程。
课程路线图
- 静态恶意软件分析:在执行前安全地检查二进制文件并提取指标。
- 使用 strace 进行动态分析:通过系统调用追踪观察文件、进程和网络行为。
- 使用 ltrace 追踪库调用:检查库交互以理解程序内部逻辑。
- 恶意软件逆向工程挑战:结合静态和动态分析,调查一个已恢复的可疑二进制文件。
课程目标人群
- 准备进入恶意软件分析和事件响应分类领域的学习者。
- 需要二进制调查实用起点的安全分析师。
- 希望在不直接深入高级逆向工程的情况下了解恶意软件行为的防御者。
学习成果
在本课程结束时,你将能够更安全地分析可疑二进制文件,提取有意义的行为和指标,并解释静态和动态证据如何支持恶意软件的分类工作。
