事件响应与恶意软件分类
本课程是一个纯挑战性质的 DFIR(数字取证与事件响应)项目,围绕受损证据和真实事件场景构建。你将不再跟随引导式实验,而是通过处理保留的磁盘取证数据、实时内存线索以及恶意软件行为重构,完成一个连贯的 DFIR 工作流。
为什么这很重要
真实的事件响应要求分析师在多个证据源之间切换,同时保持上下文的连贯性。磁盘取证数据、易失性内存和恶意软件行为分别回答了不同的问题,而有价值的结论往往源于将这些信息串联起来。本课程旨在测试这种更广泛的调查工作流。
由于这是一个项目制课程,重点在于分析师的判断力和证据关联能力。你需要决定如何提取线索、验证发现,并将这些成果贯穿于不同类型的取证和恶意软件分析挑战中。
你将学到什么
- 审查受损的磁盘证据并保留有价值的取证上下文。
- 对实时内存数据进行分类,以识别可疑进程和连接。
- 基于静态和动态指标重构恶意软件行为。
- 关联磁盘、内存和可执行文件行为中的证据。
- 实践 DFIR 调查所需的端到端思维模式。
课程路线图
- 受损磁盘证据审查:从受损系统中恢复并分析文件系统证据。
- 实时内存事件分类:利用易失性内存线索识别活跃或近期的恶意活动。
- 恶意软件行为重构:根据观察到的证据解释可疑二进制文件的功能。
适合人群
- 已完成 DFIR 和恶意软件分析课程,并希望进行实战化复习项目的学习者。
- 正在练习跨证据调查工作流的事件响应人员。
- 需要培养将磁盘、内存和恶意软件分析结果进行关联的良好习惯的安全分析师。
学习成果
完成本课程后,你将能够以连贯调查的视角处理安全事件,从已保留的取证数据过渡到易失性证据和恶意软件行为分析,从而对攻击者的活动得出更清晰的结论。
