عصر دیجیتال باعث شده است تا اطلاعات و اسناد از اتاقهای بزرگ بایگانی و قفسهها، به سرورهای کامپیوتری و فضاهای ابری منتقل شوند. این اتفاق همانطور که باعث سادهتر شدن و روانتر شدن روندهای کاری میشود، تهدیداتی را نیز بههمراه دارد.
در دنیای امروز اطلاعات (دادهها) خصوصا برای کسبوکارهای دیجیتال از مهمترین داراییها بهحساب میآیند. تا زمانی که این داراییها بر بستر اینترنت قرار دارند، تهدید نفوذ و دستکاری آنها توسط هکرها وجود خواهد داشت. یکی از راههای نفوذ این افراد به سیستمهای مختلف بدافزارها هستند.
در دوره تحلیل بدافزار مقدماتی ، تحلیل ایستای اولیه و رفتاری بدافزار در محیط ایزوله آزمایشگاهی مورد بررسی قرار میگیرد. در این دوره با ابتدا مفهوم بدافزار آشنا میشوید و در ادامه انواع و مراحل مختلف تحلیل آن به شما آموزش دادهخواهد شد.
این مطلب از طریق بررسی ساختار فایل برای تشخیص ناهنجاری برای شما تثبیت میشود. بهطورخلاصه در این دوره یاد میگیرید که چطور میتوان در یک محیط ایزوله آزمایشگاهی، بدافزار را از لحاظ رفتاری تحلیل کرد. در فصل آخر این دوره هم با محیطهای تحلیل اتوماتیک (سندباکس) آشنا شده و نحوه راهاندازی و استفاده از آن را میآموزید. این دوره پیشنیاز دوره پیشرفته تحلیل بدافزار است که در آن به تحلیل کد و مهندسی معکوس بدافزار، پرداخته میشود.
هدف از آموزش تحلیل بدافزار
ما در دنیایی زندگی میکنیم که وابستگی زیادی به اینترنت دارد. این را میتوان در عادیترین کارهای روزمره مثل سفارش غذا و پرداخت بانکی تا کسبوکارهای بزرگ و مهم کشور مشاهده کرد. اینترنت همانطور که باعث افزایش سرعت و سادهتر شدن هزاران کار مختلف شده است، مشکلات و تهدیدهای مخصوصبهخود را نیز بههمراه دارد. بدافزارها یکی از تهدیداتی هستند که فضای اینترنت را برای کاربران ناامن میکنند.
نفوذ بدافزارها میتواند باعث مختل شدن کار سیستم یا دستکاری و دزدی اطلاعات بشود. مهمترین نکته پس از نفوذ یک بدافزار به سیستم، تشخیص و واکنش سریع از طرف متخصصین مربوطه است. ما در دورهی آموزش تحلیل بدافزار قصد داریم شما را آمادهی ورود به این بخش از دنیای امنیت وب کنیم. در این دوره نمونههای مختلفی از بدافزار به شما معرفی شده و برایتان تحلیل میشوند تا از این طریق بتوانید آلودگی را در سیستمها شناسایی کرده و بهآنها واکنش سریع بدهید.
این دوره اولین قدم برای کسب تخصص در زمینه تحلیل و شناسایی بدافزار در سیستمهای آلوده و رسیدگی به رخدادهای مرتبط با بدافزار محسوب میشود.
این دوره مناسب چه افرادی است؟
قبل از شرکت در یک دوره آنلاین بهتر است برنامه خود برای آینده را مشخص کرده باشید. هر دورهی آنلاین شما را به سمت یک یا چند زمینه کاری موجود سوق میدهد. این دوره برای رسیدن به این موقعیتهای شغلی دانش شما را بهبود میبخشد:
مهارتهایی که بعد از پایان این دوره خواهید داشت
شما در پایان این دوره قادر خواهید بود:
پیش نیازهای دوره آموزش تحلیل بدافزار
برای اینکه این دوره بتواند برای شما اثربخش باشد، لازم است قبل از شرکت در آن از موارد زیر برخوردار باشید:
ابزار مورد نیاز برای شرکت در دوره آموزش تحلیل بدافزار
در این دوره مثالهای عملی تحلیل و تعدادی پروژه به شما ارائه میشود. برای اینکه بتوانید تحلیل بدافزار و دیگر فعالیتهای این دوره را انجام دهید نیاز به سیستمی با حداقل مشخصات زیر دارید:
توضیح مختصری درباره سبک تدریس استاد
هدف مکتبخونه از ارائه دورههای مکتبپلاس، بالا بردن سطح آموزش آنلاین در ایران است. بسیاری از آموزشهای آنلاین با وجود ارائه محتوای خوب آموزشی، اما بهدلیل تاکید بیشازحد روی انتقال مفاهیم و غافل شدن از یادگیری عملی، علاقهمندان را به یادگیری کامل نمیرسانند. در طرف مقابل دورههای مکتبخونه ویژگیهای منحصربهفردی مثل ارائه تمرین و کوئیز و تثبیت آموزش تئوری با نمونههای عملی ارائه میدهند. علاوهبراین، سبک تدریس استاد این دوره، تاکید ویژهای بر ارائه نمونههای عملی از طریق تحلیل بدافزارهای واقعی دارد. با این روش نکات کلیدی و ظریفی را در مورد بدافزارها یاد خواهید گرفت.
سرفصلهای دوره آموزش تحلیل بدافزار
این دوره در قالب پنج فصل ارائه شده و از ابتداییترین مفاهیم تحلیل بدافزار تا تحلیل اتوماتیک را تحت پوشش قرار میدهد.
فصل اول: مفاهیم اولیه
انواع روشهای تحلیل بدافزار
تعریف بدافزار و انواع آن
انواع بدافزار- بخش اول (ویروس، کرم، تروجان، باجافزار)
انواع بدافزار- بخش دوم (باتنت، روتکیت)
انواع بدافزار- بخش سوم (Non malware Attack،APT)
فصل دوم: تحلیل ایستای اولیه
بررسی هش و نوع فایل
اسکن فایل با چند ضدویروس
بررسی فرمت فایل Portable Executable
بررسی رشتههای فایل
فصل سوم: راه اندازی آزمایشگاه تحلیل بدافزار
معماری آزمایشگاه تحلیل بدافزار
پیکربندی سیستمهای مجازی
پیکربندی Controller
پیکربندی سیستمهای فیزیکی
راه اندازی CloneZilla
فصل چهارم: تحلیل رفتاری بدافزار
مقدمه و تعاریف
ابزار Process Explorer
ابزار Regshot
ابزار Process Monitor
ابزار AutoRuns
ابزار HandleDiff
ابزار Gmer
ابزار Wireshark
ابزار TCPView
تحلیل فایل DLL
مرور پیکربندی آزمایشگاه و ابزارها به منظور اجرای بدافزار
فصل پنجم: تحلیل اتوماتیک بدافزار
آشنایی با سندباکس و سرویسهای آنلاین تحلیل
سندباکس Cuckoo و نحوه راهاندازی آن
تحلیل عملی بدافزار با استفاده از سندباکس Cuckoo
نتیجه گیری
دوره تحلیل بدافزار مکتبخونه برای علاقهمندان به مباحث امنیت شبکه تدارک دیده شده است. در این دوره خواهید آموخت که چگونه رفتار بدافزارها را تحلیل کنید و ساختار فایلها و شبکهها را برای پیدا کردن منشا مشکل بدافزاری تحلیل نمایید. در پایان این دوره شما خواهید توانست یک محیط آزمایشگاهی برای تحلیل فایلها و بدافزارهای مختلف راهاندازی کرده و شبکه اینترنت را نیز شبیهسازی کنید. آموزش دوره تحلیل بدافزار مکتبخونه برپایه بررسی مثالهای عملی، ارائه تمرین، کوئیز و پروژههای کاربردی است و از این طریق یادگیری شما را تثبیت میکند.
محدثه ذاکری دانشآموخته سمپاد و فارغالتحصیل کارشناسی مهندسی کامپیوتر از دانشگاه صنعتی امیرکبیر و کارشناسی ارشد از دانشگاه شهید بهشتی است. ایشان بیش از 12 سال سابقه فعالیت در زمینههای مختلف امنیت اطلاعات از جمله شناسایی و تحلیل بدافزار، فار نزیک دیجیتال، پاسخ به حوادث امنیت اطلاعات (CSIRT) و مرکز عملیات امنیت (SOC) در مراکز، بانکها و سازمانهای مختلف دارد. بیشترین فعالیت ایشان در این سالها در زمینه راهاندازی آزمایشگاههای تحلیل بدافزار و ارائه راهکارهای جمعآوری، شناسایی، تحلیل و مقابله با بدافزارهای پیشرفته امروزی بودهاست.
تعریف تحلیل بدافزار و انواع آن
تحلیل بدافزار با بررسی عملکرد کد بدخواه در محیط ایزوله آزمایشگاه به سوالاتی از این دست پاسخ میدهد
در تحلیل بدافزار، عملکرد یک نمونه کد بدخواه در محیط ایزوله آزمایشگاهی مورد بررسی قرار میگیرد. در نتیجه این بررسی، سوالات زیر به جواب میرسند:
بدافزار چه قابلیتها و اهدافی دارد و شیوه عمل آن چگونه است؟
چطور می توان سایر سیستمهای آلوده (با ارائه شاخصهای مبتنی بر شبکه و میزبان) را در یک سازمان (شبکه) شناسایی کرد؟
چگونه میتوان سیستمهای آلوده را پاکسازی کرد؟
گامهای آموزش تحلیل بدافزار را میتوان به 4 دسته اصلی تقسیم کرد. در این دوره به سه دسته اول پرداخته شده و تحلیل کد بدافزار در دوره پیشرفته ارائه خواهد شد:
تحلیل اتوماتیک: در تحلیل اتوماتیک، بدافزار در یک سیستم اختصاصی بارگذاری میشود تا مورد تحلیل قرار گیرد. این تحلیل معمولاً نتایج مشابهی با تحلیل ایستای اولیه، تحلیل رفتاری و تحلیل شبکه ایجاد میکند. همچنین معمولاً از تمام روشهای دیگر تحلیل به زمان کمتری نیاز دارد. این روش بیشتر برای بررسی سریع نمونه بدافزارکاربرد دارد.
تحلیل ایستای اولیه: در این تحلیل، ساختار یک فایل و اطلاعاتی در مورد عملکرد آن بدون نیاز به اجرای فایل مورد بررسی قرار میگیرند.
تحلیل رفتاری: در تحلیل رفتاری، یک بدافزار در محیط ایزوله آزمایشگاهی از این نظر که چه رفتاری دارد (چه تغییراتی در سیستم پایه ایجاد میکند) بررسی میشود.
تحلیل کد یا مهندسی معکوس: تحلیل کد بهمعنای بررسی تمامی مسیرهای اجرایی کد بدافزار با استفاده از ابزارهایی مانند Disassembler، Debugger و Decompiler است.