Томск Курс «Компьютерные угрозы» Лабораторные работы к курсу Александр Адамов Преподаватель ХНУРЭ (Харьковский национальный университет радиоэлектроники)

Томск Лабораторные работы - преимущества Использование виртуальных машин дает: Установка всех необходимых утилит без необходимости привилегий администратора Возможность безопасной работы с вредоносным кодом и отсутствие возможности его скопировать Возможные проблемы: Необходимость обновлять версии ПО, н-р, Антивируса Касперского каждый год

Томск ПО и Утилиты VM Player + образ ОС Windows Макет троянской программы - ЛР 2 Утилита для анализа скриптов Malzilla - ЛР 3 Дизассемблер IDA Pro Free Edition - ЛР 4 Реконструктор таблицы импортов ImportRec - ЛР 5 Утилита для снятия дампов памяти PETools или ProcDump – ЛР 5 Детектор компиляторов/упаковщиков PeID и DiE (Detect It Easy) – ЛР 5

Томск Средства Использование визуальных средств для: Реверс инжениринг Распаковка Расшифровка Анализ эксплойтов

Томск Лабораторные работы - структура Описание ЛР включает в себя следующие пункты: Цель Состав необходимого ПО Краткое содержание работы Рекомендации преподавателю Методические указания по выполнению работы Задания Контрольные вопросы

Томск ЛР 1 – Антивирус Касперского Цель: ознакомиться с процессом инсталляции, принципами работы и управлением Антивирусом Касперского на ОС Windows Интерфейс Обновление Технологии оптимизации сигнатурного сканера (iChecker и iStreams) Работа антивируса при доступе к фалам Поиск и помещение в карантин вредоносных файлов Особенности использования лицензии

Томск ЛР 1 – Результаты

Томск ЛР 2 – Определение признаков заражения Цель: получить навыки обнаружения на компьютере вредоносных программ, изучить основные методы по устранению последствий вирусных инцидентов без использования антивирусного программного обеспечения. Анализ запущенных процессов (Диспетчер задач Windows) Проверка реестра (regedit) Системных папок ОС Открытых сетевых соединений (netstat) Содержание файла hosts

Томск ЛР 2 – Результаты

Томск ЛР 3 – Уязвимости в Интернет браузерах Цель: получить навыки обнаружения присутствия уязвимостей в скриптах, исполняемых Интернет браузером, изучить основные методы, используемые злоумышленниками для запуска вредоносного кода, используя различные системные уязвимости. Рассмотрение примера анализа уязвимости в метод. пособии Анализ HTML странички, использующей уязвимость Деобфускация скриптов в Malzilla Анализ деобфусцированного кода эксплойта Выводы по функциональности эксплойта

Томск ЛР 3 – Результаты

Томск ЛР 4 – Основы работы с дизассемблером Цель: навыки статического анализа программ с помощью дизассемблеров с целью обнаружения присутствия вредоносной составляющей, изучить основные приемы дизассемблирования приложений. Интерфейс и возможности дизассемблера IDA Основы статического анализа Win32 программ Анализ PE файлов (calc.exe, notepad.exe) Анализ bin файлов (шелкоды из эксплойтов)

Томск

Томск ЛР 4 – Результаты

Томск ЛР 5 – Исследование пакеров Цель: получить навыки определения наличия упаковщика в исполняемых файлах, идентификации упаковщика. Изучить основные методы распаковки исполняемых файлов. Принципы упаковки исполняемого кода Особенности работы некоторых упаковщиков Методика распаковки исполняемого файла Распаковка программ (calc, notepad) запакованных UPX, AsPack, FSG из под дебаггера

Томск

Томск ЛР 5 – Результаты

Томск Преимущества Визуализация Понятность Возможность удаленного обучение

Томск Опрос студентов

Томск Спасибо за внимание! Александр Адамов Пед форум, Учебный курс «Компьютерные угрозы», 2011 Преподаватель ХНУРЭ (Харьковского национального университета радиоэлектроники)