Grundlagen Schadsoftwareanalyse Windows
Oft ist es nicht mehr ausreichend nur festzustellen, ob sich ein Programm potenziell bösartig verhält oder nicht. Gerade wenn es darum geht, Vorfälle umfassender beurteilen und Schadenspotenziale abschätzen zu können, führt selten ein Weg an aufwendigen, detaillierten Analysen vorbei.
Allein die exakte Bestimmung einer Malware-Familie kann bereits eine Herausforderung sein, denn Malware liegt üblicherweise nur als fertig kompiliertes Programm im Maschinencode vor. Da nun der Quellcode nicht verfügbar ist, ist spezielles Wissen erforderlich, um Erkenntnisse über das Verhalten der Malware zu erarbeiten. Ein Schadsoftwareanalyst muss in der Lage sein, Techniken schnell zu identifizieren, um eine effektive Analyse durchführen zu können.
Zielgruppe
Administratoren, Analysten, CERT-Mitarbeiter
Zielsetzung
Das Grundlagen-Training zur Schadsoftwareanalyse hat das Ziel, aktuelle Schadsoftware und deren Verbreitungswege zu kennen, Systemaufrufe und Netzwerkprogrammierung in disassembliertem Code zu analysieren sowie allgemein Methoden und Werkzeuge zur statischen und dynamischen Analyse von Windows-Schadsoftware anzuwenden.
Inhalte
- Einrichtung von und Umgang mit einer Laborumgebung für Schadsoftwareanalysen
- Übersicht zu Reverse-Engineering und Anwendung von Blackboxing
- Einführung in Assembler und statische Detailanalyse mit IDA Pro
- Praktische Übungen von statischer Analyse an realer Schadsoftware
- Vorstellung von Werkzeugen für eine dynamische Detailanalyse (Debugging)
- Gemeinsame praktische Anwendung aller gelernten Methoden an realer Schadsoftware
Voraussetzung
- Grundlegendes Verständnis der Funktionsweise des Internets
- Verständnis von Netzwerkprotokollen (TCP/ IP) und Netzwerkprogrammierung
- Grundlegende Programmierkenntnisse sind empfehlenswert