Oficina de Análise de Malware

De Garoa Hacker Clube
Ir para navegação Ir para pesquisar

No Sábado, dia 16 de Abril de 2011, o Ranieri Romera, analista de ameaças senior da Trend Micro, vai realizar uma oficina de 4 horas sobre Análise de Malware no Garoa Hacker Space.

Programa

  • Uma introdução falando sobre a análise de Malware, pontuando o que é estático, comportamental e analise de código.
  • Análise estática
    • hash
    • strings
    • identificação do compilador/packer
    • teste em multiplas engines de AV
    • uso de sites de pesquisa para coleta de informações
  • Análise comportamental
    • Preparação de um ambiente para analise
    • Monitorar recursos do sistema (FS/registradores/rede/etc)
    • Interagindo com sistema
      • emulando serviços (web/ftp/irc/smtp)
      • disparando "gatilhos" / forçando determinadas situações
    • Uso de sandbox
  • Análise de código
    • Estrutura de uma arquivo executável
    • Registradores / EP / OEP / IAT / etc
    • A mudança de paradigma na leitura do código de baixo nível
    • OllyDBG
    • IdaPro
    • Analisando o código
    • Patch
    • Unpacking manual

Todos os temas acima incluem teoria e prática.

Horário: das 14h as 18h

Local

Garoa Hacker Clube:Sede

Participantes

Se você quer participar desta oficina, coloque seu nome abaixo do último desta lista. O uso de uma numeração manual é proposital, para maior controle da ordem das inscrições.

1. Anchises

2. Alberto Fabiano

3. DQ

4. Luciano Ramalho

5. Gustavo Fonseca

6. Oda

7. TechkNighT

8. Félix

9. Anderson

10. Camilo

11. Alan Jumpi

12. Anderson dos Santos Silva (*Aguardando confirmação com o Alberto!)

Pré Requisitos

Conhecimento

  • Arquitetura de computadores
  • Noções de Algoritmos / Programação
  • Conhecimento básico das instruções assembly dos processadores x86

Hadware / Software

Os requisitos de hardware e software são de responsabilidade do aluno.

  • Notebook (Qualquer SO)
  • VMWare workstation (pode ser a versão trial - válida por 30 dias)
  • Maquinas virtuais:
    • Windows XP (sem anti-virus)
    • Linux (qualquer distribuição)
      • Software de captura de tráfego de rede (tcpdump, snoop, snort, etc)
      • Servidor WEB (ou software que emule)

Obs. Um amigo me perguntou se não podia se o vmplayer, como achei a pergunta válida vou postar a respota aqui também.
O principal motivo de vmware workstation é a capacidade do snapshot, o que facilita a vida como veremos ;-)

Disponível em “https://garoa.net.br/mediawiki/index.php?title=Oficina_de_Análise_de_Malware&oldid=1347