系統(tǒng)內(nèi)核安全訓(xùn)練營(yíng)培訓(xùn)（北京，7月19-21日）
【舉辦單位】北京曼頓培訓(xùn)網(wǎng) www.mdpxb.com 中國(guó)培訓(xùn)資訊網(wǎng) www.e71edu.com
【咨詢電話】4006820825 010-56133998 13810210257
【培訓(xùn)日期】2018年7月19-21日
【培訓(xùn)地點(diǎn)】北京
【培訓(xùn)對(duì)象】
研發(fā)程序員
希望了解系統(tǒng)底層的應(yīng)用開發(fā)人員
安全產(chǎn)品經(jīng)理
希望了解內(nèi)核安全技術(shù)的安全測(cè)試人員
希望了解安全產(chǎn)品底層原理的安全運(yùn)維人員
對(duì)底層安全有興趣者
對(duì)安全對(duì)抗和木馬病毒分析查殺感興趣人員

【課程背景】

近年來，IT安全問題日益突出，安全事故頻頻發(fā)生，各種系統(tǒng)漏洞、勒索木馬、病毒和流氓軟件等對(duì)企事業(yè)單位、公司、學(xué)校、醫(yī)院和個(gè)人造成重大損失。因此IT安全日益受到業(yè)界和國(guó)家的重視，國(guó)家領(lǐng)導(dǎo)人曾說“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全”。培養(yǎng)優(yōu)秀的底層安全人才，是我們?cè)O(shè)計(jì)這個(gè)課程的初衷。

【課程設(shè)計(jì)】
將內(nèi)核底層開發(fā)與安全技術(shù)融入到一個(gè)一個(gè)實(shí)際案例中，通過實(shí)戰(zhàn)化的安全和對(duì)抗技術(shù)演練幫助學(xué)員迅速掌握：
■如何開發(fā)一個(gè)內(nèi)核模塊，并對(duì)內(nèi)核模塊進(jìn)行測(cè)試和調(diào)試？
■如何進(jìn)行系統(tǒng)藍(lán)屏分析？
■應(yīng)用層和內(nèi)核層的通信是如何進(jìn)行的？
■如何在內(nèi)核層操作字符串，文件，注冊(cè)表，內(nèi)存和線程？
■如何在內(nèi)核層進(jìn)行文件進(jìn)程的強(qiáng)刪和強(qiáng)殺？
■如何進(jìn)行文件系統(tǒng)，注冊(cè)表，網(wǎng)絡(luò)，進(jìn)程的監(jiān)控？
■主動(dòng)防御，云查殺，沙盒的內(nèi)核技術(shù)原理是什么？
■ROOTKIT和BOOTKIT是如何查殺的？等等
整個(gè)課程包含了大量的實(shí)際項(xiàng)目例子，通過案例闡述在實(shí)際項(xiàng)目中的內(nèi)核技術(shù)和安全對(duì)抗，提升學(xué)員的實(shí)際內(nèi)核開發(fā)能力，安全對(duì)抗能力，并在實(shí)際項(xiàng)目中理解應(yīng)用層和系統(tǒng)底層的交互，深入理解系統(tǒng)底層。

【學(xué)員基礎(chǔ)】
■有一定的C語(yǔ)言和匯編基礎(chǔ)
■學(xué)習(xí)過數(shù)據(jù)結(jié)構(gòu)
■了解操作系統(tǒng)原理，編譯原理
■對(duì)軟件開發(fā)過程有基本的概念

【課程大綱】
Day1
上午

內(nèi)核編程入門
第一部分：內(nèi)核模塊代碼編寫，編譯和測(cè)試
1.內(nèi)核安全與技術(shù)概述
2.內(nèi)核模塊編寫編譯測(cè)試
3.內(nèi)核模塊數(shù)字簽名

第二部分：使用Windbg進(jìn)行內(nèi)核模塊調(diào)試
1.Windbg+虛擬機(jī)調(diào)試內(nèi)核模塊
2.如何下斷點(diǎn)
3.如何使用調(diào)試命令
4.如何進(jìn)行藍(lán)屏分析案例練習(xí):組織大家使用內(nèi)核開發(fā)環(huán)境編寫一個(gè)簡(jiǎn)單的內(nèi)核模塊，并進(jìn)行測(cè)試，觀察內(nèi)核模塊輸出結(jié)果。
（注意：內(nèi)核開發(fā)環(huán)境搭建文檔提前發(fā)給大家，提前準(zhǔn)備）
案例練習(xí)：讓學(xué)員利用搭建的內(nèi)核調(diào)試環(huán)境，調(diào)試上個(gè)練習(xí)中開發(fā)的內(nèi)核模塊。必須學(xué)會(huì)符號(hào)加載，斷點(diǎn)設(shè)置，單步跟蹤，內(nèi)存查看，藍(lán)屏分析等調(diào)試方法
Day1
下午

內(nèi)核編程進(jìn)階
第一部分 應(yīng)用層與內(nèi)核層通信
1.應(yīng)用層API與內(nèi)核分發(fā)函數(shù)關(guān)系
2.基于緩存通信方式
3.直接IO，和第三種通信方式
4.讀寫和IOCONTROL演練

第二部分 內(nèi)核內(nèi)存，字符串，文件，注冊(cè)表，多線程
1.內(nèi)核內(nèi)存分配特點(diǎn)及注意事項(xiàng)
2.內(nèi)核字符串使用方法
3.內(nèi)核文件和注冊(cè)表訪問方法
4.內(nèi)核創(chuàng)建多線程及IRQL案例練習(xí)：利用一個(gè)NT驅(qū)動(dòng)框架模型，給大家實(shí)際演示內(nèi)核和應(yīng)用程序通訊的完整過程，觀察從應(yīng)用層發(fā)送讀，寫，控制請(qǐng)求到內(nèi)核層，內(nèi)核是如何處理這些請(qǐng)求的，請(qǐng)求結(jié)果是如何上傳給應(yīng)用層程序的。在應(yīng)用層和內(nèi)核層通信的時(shí)候，可以采用的3種通信方式的特點(diǎn)；

代碼分析：通過實(shí)際代碼分析如何在內(nèi)核中進(jìn)行內(nèi)存分配，字符串處理，文件注冊(cè)表訪問和多線程創(chuàng)建等。
Day2
上午

內(nèi)核開發(fā)提高
第一部分 內(nèi)核爆搜，強(qiáng)刪與強(qiáng)殺
1.特征碼與內(nèi)核暴力搜索
2.驅(qū)動(dòng)文件強(qiáng)刪例子
3.驅(qū)動(dòng)進(jìn)程強(qiáng)殺例子
第二部分 驅(qū)動(dòng)，進(jìn)程，文件，注冊(cè)表，網(wǎng)絡(luò)監(jiān)控
1.驅(qū)動(dòng)加載監(jiān)控
2.進(jìn)程創(chuàng)建監(jiān)控
3.文件系統(tǒng)監(jiān)控minifilter
4.注冊(cè)表系統(tǒng)監(jiān)控
5.網(wǎng)絡(luò)通信監(jiān)控案例練習(xí)：通過幾個(gè)實(shí)際的項(xiàng)目例子，為大家演示如何利用內(nèi)核技術(shù)進(jìn)行內(nèi)存的暴力搜索，驅(qū)動(dòng)文件強(qiáng)刪（正在運(yùn)行中的程序和獨(dú)占打開的文件）以及進(jìn)程強(qiáng)刪的例子。
案例練習(xí)：通過若干個(gè)實(shí)際案例，演示如何在系統(tǒng)中利用內(nèi)核技術(shù)來實(shí)現(xiàn)驅(qū)動(dòng)加載、進(jìn)程創(chuàng)建、文件系統(tǒng)訪問、注冊(cè)表訪問、網(wǎng)絡(luò)通信等方面的監(jiān)控，維護(hù)系統(tǒng)的安全性和可靠性，免受病毒和木馬的破壞。
Day2
下午

內(nèi)核高級(jí)開發(fā)
第一部分 主防，云查殺，沙盒
1.主動(dòng)防御是什么？
2.云查殺是如何做到的？
3.沙盒技術(shù)的原理分析
第二部分 上帝模式：VT技術(shù)與X64HOOK
1.X64系統(tǒng)遇到的安全問題
2.VT技術(shù)原理介紹
3.VT技術(shù)的實(shí)際應(yīng)用:X64HOOK案例練習(xí)： 結(jié)合幾個(gè)實(shí)際例子，讓大家明白主動(dòng)防御的具體實(shí)現(xiàn)，云查殺的作用，以及沙盒技術(shù)的應(yīng)用，讓大家明白安全軟件中對(duì)內(nèi)核技術(shù)的深入應(yīng)用。
案例練習(xí)：通過案例演示，介紹VT技術(shù)的實(shí)現(xiàn)原理，系統(tǒng)在VT模式下的運(yùn)行機(jī)制，以及使用VT技術(shù)實(shí)現(xiàn)在X64系統(tǒng)下的安全監(jiān)控。
Day3
上午

Rootkit與ARK工具對(duì)抗
第一部分 ARK對(duì)抗原理
1.ROOTKIT概述
2.ROOTKIT的隱藏機(jī)制
3.ARK（Anti-Rootkit）技術(shù)分析
第二部分 ARK工具對(duì)Rootkit查殺
1.HOOK檢測(cè)
2.文件檢測(cè)
3.進(jìn)程檢測(cè)
4.驅(qū)動(dòng)檢測(cè)
5.端口檢測(cè)等
案例分析：介紹典型的ROOTKIT的運(yùn)行機(jī)制，包括對(duì)自己進(jìn)程，文件，端口，注冊(cè)表，驅(qū)動(dòng)的隱藏等，以及ARK工具利用內(nèi)核技術(shù)，實(shí)現(xiàn)對(duì)這些隱藏對(duì)象的深入檢測(cè)。
案例練習(xí)：
結(jié)合強(qiáng)大的ARK工具PCHUNTER，演示PCHUNTER的使用方法，利用里面的各種功能實(shí)現(xiàn)對(duì)ROOTKIT的完美檢測(cè)。
Day3
下午

Bootkit查殺與對(duì)抗
第一部分 Bootkit進(jìn)化發(fā)展
1.什么是BOOTKIT
2.BOOTKIT的發(fā)展歷史
第二部分 Bootkit分析與查殺
1.BOOTKIT運(yùn)行機(jī)制
2.BOOTKIT的檢測(cè)與查殺
3.BOOTKIT最新技術(shù)演變
小結(jié)與答疑案例分析：
通過“鬼影”，“BMW”，“諜影”等復(fù)雜BOOTKIT木馬的演化進(jìn)行詳細(xì)分析，給大家講解BOOTKIT的運(yùn)行機(jī)制，技術(shù)特點(diǎn)以及查殺流程，感受內(nèi)核和底層木馬對(duì)抗的激烈與精彩。

【講師介紹】
邵老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師。邵老師安全界著名的C、匯編程序員，長(zhǎng)期致力于x86體系架構(gòu)與Windows系統(tǒng)底層技術(shù)的研究與相關(guān)商業(yè)軟件的開發(fā)。是著名的反rootkit工具DarkSpy的作者之一。
在從事程序設(shè)計(jì)與開發(fā)期間，主要參與研發(fā)的產(chǎn)品包括：
1．企業(yè)信息防泄密軟件的Windows內(nèi)核驅(qū)動(dòng)開發(fā)工作
2．著名反Rootkit軟件DarkSpy作者之一
3．某著名上市安全公司系統(tǒng)急救箱研發(fā)主要負(fù)責(zé)人
4．全球首例UEFI_BIOS木馬“諜影”（2017年4月）和著名的BOOTKIT木馬BMW發(fā)現(xiàn)者
5．某著名上市安全公司核心安全委員會(huì)成員之一（僅5人）
6． 暢銷書《天書夜讀:從匯編語(yǔ)言到Windows內(nèi)核編程》和《寒江獨(dú)釣:windows內(nèi)核安全編程》)(08年度暢銷榜TOP50)(09年度暢銷榜NO.8)作者之一

姚老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師。 熟悉IDA、Ollydbg、Windbg等調(diào)試逆向工具的使用，具有很強(qiáng)的調(diào)試功底。精通桌面反病毒引擎、網(wǎng)絡(luò)病毒檢測(cè)引擎等反病毒技術(shù)，過去5年很多時(shí)間專注于研發(fā)這個(gè)。曾就職于安天，超級(jí)巡警。個(gè)人作品包括linxerUnpacker 虛擬機(jī)脫殼軟件，以及非常著名的 XueTr（現(xiàn)在更名為PCHUNTER） ARK工具，幾乎所有的病毒安全工程師都在使用的一款強(qiáng)大的安全工具，用來手工殺毒。

周老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師。 曾就職于阿里，360，北大計(jì)算機(jī)研究所。 著有《程序員求職成功路：技術(shù)、求職技巧與軟實(shí)力培養(yǎng)》,《電腦系統(tǒng)與數(shù)據(jù)安全防護(hù)》，《加密與解密-第4版》（作者之一）等書，創(chuàng)辦了“麥洛克菲”高端IT內(nèi)核安全培訓(xùn)。

【費(fèi)用及報(bào)名】
1、費(fèi)用：培訓(xùn)費(fèi)6200元（含培訓(xùn)費(fèi)、講義費(fèi)）；如需食宿，會(huì)務(wù)組可統(tǒng)一安排,費(fèi)用自理。
2、報(bào)名咨詢：4006820825 010-56133998 56028090 13810210257 鮑老師
3、報(bào)名流程：電話登記-->填寫報(bào)名表-->發(fā)出培訓(xùn)確認(rèn)函
4、備注：如課程已過期，請(qǐng)?jiān)L問我們的網(wǎng)站，查詢最新課程
5、詳細(xì)資料請(qǐng)?jiān)L問北京曼頓培訓(xùn)網(wǎng)：www.mdpxb.com (每月在全國(guó)開設(shè)四百多門公開課，歡迎報(bào)名學(xué)習(xí))