加载中…AV Training 杂记
(2008-10-22 16:02:36)
标签:
av培训杂记信息安全 |
分类: Trender生活 |
8月,我们Core Tech刚刚度过3个月Probation的一帮兄弟姐妹们被安排参加公司的Advanced Virus Training(名字很吓人吧,呵呵)。这个脱产的Training为期两周,公司专门安排菲律宾的病毒专家来给我们讲课,全程e文,培训结束考试,考试合格发证书(离开学校还要考试……郁闷)。听之前参加过这个Training的前辈们说,每天培训再加上分析病毒样本,搞十几个钟头是常有的事。真有挑战性~哈哈,想和病毒玩,不花点功夫怎么行?最好玩的是,可以玩真的病毒哦~。
因为在学校学的知识和培训内容相差的比较远,开课前的周末,我们的manager特地给我们准备了一些问题预热,大体都是些Win32 汇编的内容,熟悉了以后在debug病毒代码时不至于两眼发晕 ^ ^。其中有一道热身题目是这样的:“请你写一个汇编程序,这个程序可以把自己的代码拷贝到当前目录下所有的EXE文件,完成自启动.........(此处省略500字哈哈),这个程序还要查找并且kill系统内疑似的反病毒程序进程.............”。
额滴神那,
培训第一天,早早的来到了公司。老师是一个高大帅气的菲律宾帅哥,已经坐在教室等我们了。第一天上午先讲DOS可执行文件、PE文件的结构以及一些调试工具,下午就给了一个win32的malware sample让我们来做反汇编、跟踪和调试。平时咱在学校里写程序,最多只关心代码的逻辑,其他事情都交给编译器解决了,谁玩过disassembly啊……脑子里揣着上午听得迷迷糊糊的什么文件Header, Section结构,什么Entry Point, Import Table的一大堆概念,对照着讲义文档我就稀里糊涂的开工了。好在用的是VM Ware, 环境搞乱了恢复一下可以重头再调,呵呵。经过整整一下午的奋斗和通力协作,基本每一个学员都找出了病毒样本的特征和disassembly code,交上了合格的作业,也熟悉了分析病毒常用的Hiew, IDA, OllyDebug等工具。这一天很累,但觉的很有收获,总算是对看似高深莫测的病毒分析知道点啥了~
以后的课程模式基本上是一样的,老师每天上午讲课,下午让我们自己练习和做作业。作业一般是几个典型的病毒样本要求分析,第二天老师会当堂讲解前一天的作业。在培训期间,我们系统学习了Security
Threat的基本概念,了解了如何去区分malware, gray ware和normal
application;详细了解了Trend Micro目前对于Security
Threat的不同解决方案和不同产品;讲述了malware常见的技术以及跟踪分析malware的技术;也分析了不同的开发环境如VB,VC,
Delphi,
.NET或汇编等开发出的程序的特点;我们还学习了加壳、加密和脱壳(当然是使用工具的,呵呵);反复练习如何利用工具抓住病毒的特征、如何debug这些High-Level
Compiled
Malware或者汇编语言生成的malware;练习怎么样跟踪分析蠕虫病毒、后门和特洛伊木马、解释型语言病毒以及网页病毒;课程后期,老师还详细介绍了目前病毒发展的趋势和混合型病毒。在课程将要结束的时候,我们自己动手制作了可以work的病毒pattern(
整个Virus
Training的内容新颖、紧凑,非常贴近工作。通过这次培训,我不仅学到了病毒相关的许多知识,还从较为底层的程度加深了对于计算机程序的理解(汇编是个好东西,建议有空的同学们都捡起来看看^^),全程的英文培训也锻炼了英文交流的能力。至于培训最后的考试么……有了这么多天的锻炼,最后已经没有哪个学员觉得考试是困难的啦:)通过这次培训,我们这些刚毕业的小菜鸟们也算是踏入反病毒领域的大门了,相信今后在Trend这样一个优秀的团队里,凭借自身的不断努力,我们一定能够快速
---RC---
喜欢
0
赠金笔