钱林松-专业逆向人才培养模式探讨与实践 - 21日上午分论坛2

1. 2014
对话·交流·合作

2. 2014
对话·交流·合作
专业逆向人才培养模式与实践
钱林松
武汉科锐
微信号码:vtable

3. 2014软件逆向分析的意义
逆向
分析
推断数据结构
推断体系结构
推测程序设计信息
阅读汇编源码
……
剖析病毒
漏洞挖掘
电子取证
游戏保护

4. 2014软件逆向分析的意义
查文档 学技术
用软件
用软件
没文档！ 学技术
逆向后
常规：
特殊情况：

5. 2014高素质软件逆向人才

6. 2014
法律意识逆向换位
自备工具领袖气质文档管理
高素质软件逆向人才
程序设计

7. 2014软件逆向分析的现状
各大、专院校：
有计算机相关专业
但不重视逆向技术
常见社会实训机构：
以培养技术蓝领为目标
行业有需求
专业未设置
掌握技术
取长补短
为我所用

8. 2014软件逆向分析课程设置
阶段一：基础
阶段二：进阶
阶段三：实践

9. 2014课程设置
阶段一：基础
阶段二：进阶
阶段三：实践 课程清单
C语言程序设计
C++程序设计
……
数据结构

10. 2014课程设置
阶段一：基础
阶段二：进阶
阶段三：实践 课程清单
数据关系
Windows程序设计
……
MFC、COM……

11. 2014课程设置
阶段一：基础
阶段二：进阶
阶段三：实践 课程清单
汇编程序设计
PE文件格式
软件逆向分析和检测
调试器工作原理
Windows内核开发
……

12. 2014项目安排
数据引擎仿真
编写调试工具包
逆向 Win32 API
并提交报告
病毒分析并提交
报告

13. 2014训练过程中的管理
严格筛选
周报文档
违纪处罚
支持重修

14. 2014成果展示：PE分析工具
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

15. 2014导入表分析
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

16. 2014导出表分析
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

17. 2014重定位表分析
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

18. 2014增加空间
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

19. 2014导入表劫持HOOK
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

20. 2014导入表恢复
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

21. 2014模拟装载
增加空间
重定位表分析
导入表劫持 HOOK
导入表恢复
模拟装载
导出表分析
导入表分析

22. 2014成果展示：调试器
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

23. 2014成果展示：调试器
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

24. 2014反汇编指定地址
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

25. 2014查看内存和栈
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

26. 2014管理多个断点
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

27. 2014管理四个硬断点
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

28. 2014程序流程记录
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

29. 2014时光倒流
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

30. 2014解析调用目标的名称
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

31. 2014关键字高亮显示
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

32. 2014支持脚本调用
管理四个硬断点
管理多个软断点
程序流程记录
“时光倒流”
查看内存和栈
反汇编指定地址
解析名称
高亮显示
脚本支持

33. 2014单步进入和步过

34. 2014成果展示：软件行为监控
监控信息
进程线程操作监控
文件操作监控
注册表操作监控
网络操作监控

35. 2014监控信息
监控信息
进程线程操作监控
文件操作监控
注册表操作监控
网络操作监控

36. 2014进程线程操作监控
监控信息
进程线程操作监控
文件操作监控
注册表操作监控
网络操作监控

37. 2014文件操作监控
监控信息
进程线程操作监控
文件操作监控
注册表操作监控
网络操作监控

38. 2014注册表操作监控
监控信息
进程线程操作监控
文件操作监控
注册表操作监控
网络操作监控

39. 2014网络操作监控
监控信息
进程线程操作监控
文件操作监控
注册表操作监控
网络操作监控

40. 2014成果展示：Android游戏

41. 2014成果展示：安卓远程控制
服务端
客户端
远程CMD
远程文件管理
远程监控PC屏幕

42. 2014服务端
服务端
客户端
远程CMD
远程文件管理
远程监控PC屏幕

43. 2014客户端
服务端
客户端
远程CMD
远程文件管理
远程监控PC屏幕

44. 2014远程CMD
服务端
客户端
远程CMD
远程文件管理
远程监控PC屏幕

45. 2014远程文件管理
服务端
客户端
远程CMD
远程文件管理
远程监控PC屏幕

46. 2014远程监控PC屏幕
服务端
客户端
远程CMD
远程文件管理
远程监控PC屏幕

47. 2014成果展示：安卓手机卫士
流量查看
进程管理
常用工具
软件管理
手机防盗

48. 2014手机防盗
流量查看
进程管理
常用工具
软件管理
手机防盗

49. 2014软件管理
流量查看
进程管理
常用工具
软件管理
手机防盗

50. 2014进程管理
流量查看
进程管理
常用工具
软件管理
手机防盗

51. 2014流量查看
流量查看
进程管理
常用工具
软件管理
手机防盗

52. 2014常用工具1
流量查看
进程管理
常用工具
软件管理
手机防盗

53. 2014常用工具2
流量查看
进程管理
常用工具
软件管理
手机防盗

54. 2014更多成果
http://bbs.pediy.com/showthread.php?t=114611
逆向CreatProcess
http://bbs.pediy.com/showthread.php?t=180030
破解360胸卡

55. 2014毕业后的安置
60分
残酷的竞争
与就业压力
保证竞争力
与就业机会

56. 2014现阶段的效果
7年时间 400人次
10000~30000月薪

57. 2014现阶段的效果
学员广泛分布于腾讯、百
度、金山、360、阿里等各
大安全企业。部分优秀人
才担任管理要职。

58. 2014
Thank you all!