RE@NSM - Introduksjonskurs i Reverse Engineering

Publisert: 30.06.2016 | Sist endret: 01.07.2016

NSM arrangerer et firedagers kurs i Reverse Engineering. Formålet med kurset er å gi studenten basiskunnskap innen reverse engineering. Etter kurset vil man ha praktisk erfaring med verktøy og metoder for å utføre enkle analyser på Windows-plattform.

 

Det er foreløpig ingen planer om et nytt kurs innen dette tema

Målgruppe

Målgruppen for kurset er teknisk personell med behov for teknisk kompetanse innen, eller interesse for skadevare-problematikk, programmering (gjerne C/C++ og lavnivå). Erfaring med debugging/assembly gir også stor fordel. Python eller lignende språk får man bruk for i de mest avanserte oppgavene, men dette anses som bonus.

Motivasjon

I tråd med et stadig voksende digitalt trusselbilde følger behovet for dyktige skadevareanalytikere. En skadevareanalytikers primæroppgave er å besvare spørsmål rundt egenskapene til et ukjent og potensielt ondsinnet dataprogram (sample). Typisk ønsker man å få informasjon om blant annet diskaktivitet, nettverkstrafikk/-protokoller, kryptoalgoritmer/-nøkler, persistensmekanismer (fotfeste i et datasystem) og andre særegenheter, for å kartlegge trusselomfang og deteksjonsmuligheter. Fagfeltet som benyttes i dette arbeidet omtales ofte som "reverse engineering".

Innhold 

Kurset er praktisk rettet og hovedfokus er tankesettet ved reversing. For å imøtekomme ulike tekniske nivåer vil oppgavene ha varierende vanskelighetsgrad. Alle kan finne passende utfordring i sin læring. Vi begynner fra scratch og bygger oss stegvis oppover. 

Tiden er begrenset, men vi ønsker oss innom tema som blant annet:

  • angrepsvektorer
  • anti-reversing/debugging
  • uthenting av kryptert informasjon
  • mekanismer for fotfeste
  • analyse av nettverkstrafikk og funksjonalitet
  • skriving av signaturer.

Krav 

Hver deltaker trenger eget miljø for analyse, som MÅ settes opp på forhånd. 

Dette innebærer egen laptop som har installert VMware med Windows 7 guest-image. Programmene i listen under skal installeres på guest-imaget. Å gjøre dette er litt jobb, men gir samtidig god og viktig oversikt over oppsettet. Standard-innstillinger kan brukes i installasjone.

Analysemiljø
VMware eller VirtualBox

https://www.vmware.com/

https://www.virtualbox.org/

Windows 7 image for VMware
(IE-versjon spiller ingen rolle)

https://modern.ie/

Foreløpig liste over programmer

Programmer

Python 2.x

https://www.python.org/downloads/
OllyDbg 2.x http://ollydbg.de/odbg200.zip
IDA Pro 6.9 Demo (eller ta med din egen) https://www.hex-rays.com/products/ida/support/download_demo.shtml
masm32 assembler http://masm32.com/
Text-editor, f.eks. https://notepad-plus-plus.org/
eller http://www.vim.org/download.php

Hex-editor med søke- og xor-funksjon, f.eks.

http://www.hexedit.com/
Process Hacker http://processhacker.sourceforge.net/downloads.php
PE-Bear http://hasherezade.net/PE-bear/
Resource Hacker http://www.angusj.com/resourcehacker/
Wireshark https://www.wireshark.org/#download
Sysinternals Suite http://sysinternals.com/
7-Zip http://www.7-zip.org/
UPX http://upx.sourceforge.net/
Yara http://plusvic.github.io/yara/