Fortgeschrittene Schadsoftwareanalyse Windows

Fortgeschrittene Schadsoftware entschleiern und analysieren

Die Herausforderung: Moderne Schadsoftware versucht ihre Analyse durch die Verwendung von verschleiernden Techniken hinauszuzögern

Dynamisches Entpacken von Code, Verschlüsselung von Strings und Code-Injektionen sind nur einige der genutzten Techniken. Diese Techniken zielen sowohl auf die dynamische als auch auf die statische Analyse ab. Sofern eine Detailanalyse einer bestimmten Schadsoftware angestrebt wird, muss ein Schadsoftwareanalyst in der Lage sein, diese Techniken zu identifizieren und anschließend diese zu entschleiern damit eine Schadsoftwareanalyse überhaupt möglich ist.

 

Die Lösung: Das Seminar vermittelt den Teilnehmern Kenntnisse über gängige Verschleierungsmaßnahmen und erklärt wie diese (auch mittels Automatisierung) umgangen werden können.

Im Seminar erhalten Sie eine Einführung in Verschleierungstechniken im Rahmen von Schadsoftware. Anschließend wird erklärt, wie gängige Verschleierungstechniken wie z.B. Applikationspacking, Code-Injektionen sowie String-Verschlüsselung funktionieren. In vielen Praxisübungen lernen die Teilnehmer diese zu erkennen und aufzulösen. Eine besondere Rolle spielt hierbei die Automatisierung von statischen Analysewerkzeugen wie IDA Pro. Diese bieten Python-Schnittstellen mittels derer wiederkehrende Aufgaben sowie massenhafte Bearbeitung von Verschleierungstechniken ermöglicht werden.

Ihr Vorteil auf einem Blick

Nach dem Seminar können Sie...

... Verschleierungsmethoden erkennen und bewerten
... Einfache Verschleierungsmethoden selbst programmatisch auflösen

Dieses Seminar bietet Ihnen...

... einen Überblick über gängige Verschleierungsmethoden präsentiert durch einen Fachexperten
... Techniken zur Erkennung und zum Auflösen von Verschleierungsmethoden
... viele praxisnahe Übungen mit aktueller und relevanter Schadsoftware zum Auflösen von Verschleierungsmethoden

Das Seminar im Überblick

Termine Auf Anfrage
Dauer 2 Tage Präsenz
Kurssprache Deutsch
Lernziel

Kennen:

  • Gängige Verschleierungsmethoden wie String-Verschlüsselung, API-Verschleierung, Code-Injektionen
  • Möglichkeiten und Grenzen der Entschleierung
     

Verstehen:

  • Applikationspacker, Code-Injektionen, API/String-Verschleierung
     

Können:

  • Automatisierung IDA Pro
  • Simple API/String-Verschleierung auflösen
  • Code-Injektionen verfolgen, simples Entpacken
Zielgruppe angehende Schadsoftwareanalysten, die bereits erste Erfahrungen mit dynamischer und statischer Analyse haben
Voraussetzungen
  • Theoretische und praktische Kenntnisse in der Analyse von Windowsschadsoftware (siehe Modul "Grundlagen Schadsoftwareanalyse für Windows")
  • Umgang mit Windows/Linux
  • Umgang mit IDA Pro und Debugger (z.B. x64dbg)
  • Netzwerkkenntnisse
  • Programmierkenntnisse in Python (wichtig) sowie C/C++ (vorteilhaft)
  • Verständnis von x86-Assembler
Niveau Advanced
Maximale Teilnehmerzahl 12 Teilnehmende
Veranstaltungsort Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, Zanderstraße 5, 53177 Bonn  
Teilnahmegebühr 1.200 €

Manuelles Entpacken von Programmen mit anschließender IAT-Rekonstruktion
Manuelles Entpacken von schadsoftware-spezifischen Packern
Härten einer virtuellen Maschine
Erkennung und Umgehung von Code-Injektionen
Automatisierung von IDA Pro mittels IDAPython und Sark
Erkennung und Umgehung von Stringverschlüsselung
Erkennung und Umgehung von API-Verschleierung

Thomas Barabosch

Thomas Barabosch ist seit 2011 als wissenschaftlicher Mitarbeiter in der Abteilung Cyber Analysis & Defense (CAD) des Fraunhofer FKIE tätig. Seine Forschungsschwerpunkte sind Botnetzbekämpfung sowie Schadsoftwareanalyse. Herr Barabosch kann auf zahlreiche Veröffentlichungen auf wissenschaftlichen Fachkonferenzen zu den Themen Botnetzbekämpfung, Schadsoftwareanalyse und Forensik zurückblicken. Im Rahmen seiner Arbeit analysiert er aktuelle Schadsoftware und nimmt auch an Botnetz-Takedowns teil.

Ihre Anfrage

* Pflichtfelder

Anrede
Name
Datenschutz
Newsletter