|
時間
|
內容
|
案例實踐與練習
|
|
Day1
上午
內核編程入門
|
第一部分:內核模塊代碼編寫���,編譯和測試
- 內核安全與技術概述
- 內核模塊編寫編譯測試
- 內核模塊數字簽名
第二部分:使用Windbg進行內核模塊調試
- Windbg+虛擬機調試內核模塊
- 如何下斷點
- 如何使用調試命令
- 如何進行藍屏分析
|
案例練習:組織大家使用內核開發環境編寫一個簡單的內核模塊��,并進行測試�����,觀察內核模塊輸出結果�。
(注意:內核開發環境搭建文檔提前發給大家��,提前準備)
案例練習:讓學員利用搭建的內核調試環境���,調試上個練習中開發的內核模塊��。必須學會符號加載���,斷點設置����,單步跟蹤����,內存查看��,藍屏分析等調試方法
|
|
Day1
下午
內核編程進階
|
第一部分 應用層與內核層通信
- 應用層API與內核分發函數關系
- 基于緩存通信方式
- 直接IO����,和第三種通信方式
- 讀寫和IOCONTROL演練
第二部分 內核內存���,字符串���,文件�����,注冊表���,多線程
- 內核內存分配特點及注意事項
- 內核字符串使用方法
- 內核文件和注冊表訪問方法
- 內核創建多線程及IRQL
|
案例練習:利用一個NT驅動框架模型�����,給大家實際演示內核和應用程序通訊的完整過程����,觀察從應用層發送讀����,寫�����,控制請求到內核層�,內核是如何處理這些請求的���,請求結果是如何上傳給應用層程序的��。在應用層和內核層通信的時候�,可以采用的3種通信方式的特點��;
代碼分析:通過實際代碼分析如何在內核中進行內存分配����,字符串處理��,文件注冊表訪問和多線程創建等�。
|
|
Day2
上午
內核開發提高
|
第一部分 內核爆搜��,強刪與強殺
- 特征碼與內核暴力搜索
- 驅動文件強刪例子
- 驅動進程強殺例子
第二部分 驅動��,進程�����,文件����,注冊表�,網絡監控
- 驅動加載監控
- 進程創建監控
- 文件系統監控minifilter
- 注冊表系統監控
- 網絡通信監控
|
案例練習:通過幾個實際的項目例子��,為大家演示如何利用內核技術進行內存的暴力搜索����,驅動文件強刪(正在運行中的程序和獨占打開的文件)以及進程強刪的例子��。
案例練習:通過若干個實際案例��,演示如何在系統中利用內核技術來實現驅動加載�����、進程創建�����、文件系統訪問�、注冊表訪問�、網絡通信等方面的監控��,維護系統的安全性和可靠性�,免受病毒和木馬的破壞���。
|
|
Day2
下午
內核高級開發
|
第一部分 主防����,云查殺���,沙盒
- 主動防御是什么�����?
- 云查殺是如何做到的���?
- 沙盒技術的原理分析
第二部分 上帝模式:VT技術與X64HOOK
- X64系統遇到的安全問題
- VT技術原理介紹
- VT技術的實際應用:X64HOOK
|
案例練習: 結合幾個實際例子�,讓大家明白主動防御的具體實現���,云查殺的作用��,以及沙盒技術的應用���,讓大家明白安全軟件中對內核技術的深入應用����。
案例練習:通過案例演示���,介紹VT技術的實現原理�,系統在VT模式下的運行機制�,以及使用VT技術實現在X64系統下的安全監控����。
|
|
Day3
上午
Rootkit與ARK工具對抗
|
第一部分 ARK對抗原理
- ROOTKIT概述
- ROOTKIT的隱藏機制
- ARK(Anti-Rootkit)技術分析
第二部分 ARK工具對Rootkit查殺
- HOOK檢測
- 文件檢測
- 進程檢測
- 驅動檢測
- 端口檢測等
|
案例分析:介紹典型的ROOTKIT的運行機制��,包括對自己進程�,文件��,端口��,注冊表�,驅動的隱藏等��,以及ARK工具利用內核技術����,實現對這些隱藏對象的深入檢測�����。
案例練習:
結合強大的ARK工具PCHUNTER�����,演示PCHUNTER的使用方法����,利用里面的各種功能實現對ROOTKIT的完美檢測�����。
|
|
Day3
下午
Bootkit查殺與對抗
|
第一部分 Bootkit進化發展
- 什么是BOOTKIT
- BOOTKIT的發展歷史
第二部分 Bootkit分析與查殺
- BOOTKIT運行機制
- BOOTKIT的檢測與查殺
- BOOTKIT最新技術演變
小結與答疑
|
案例分析:
通過“鬼影”���,“BMW”����,“諜影”等復雜BOOTKIT木馬的演化進行詳細分析����,給大家講解BOOTKIT的運行機制���,技術特點以及查殺流程�,感受內核和底層木馬對抗的激烈與精彩���。
|
