系統(tǒng)內核安全訓練營培訓（北京，7月19-21日）
【舉辦單位】北京曼頓培訓網 www.mdpxb.com 中國培訓資訊網 www.e71edu.com
【咨詢電話】4006820825 010-56133998 13810210257
【培訓日期】2018年7月19-21日
【培訓地點】北京
【培訓對象】
研發(fā)程序員
希望了解系統(tǒng)底層的應用開發(fā)人員
安全產品經理
希望了解內核安全技術的安全測試人員
希望了解安全產品底層原理的安全運維人員
對底層安全有興趣者
對安全對抗和木馬病毒分析查殺感興趣人員

【課程背景】

近年來，IT安全問題日益突出，安全事故頻頻發(fā)生，各種系統(tǒng)漏洞、勒索木馬、病毒和流氓軟件等對企事業(yè)單位、公司、學校、醫(yī)院和個人造成重大損失。因此IT安全日益受到業(yè)界和國家的重視，國家領導人曾說“沒有網絡安全，就沒有國家安全”。培養(yǎng)優(yōu)秀的底層安全人才，是我們設計這個課程的初衷。

【課程設計】
將內核底層開發(fā)與安全技術融入到一個一個實際案例中，通過實戰(zhàn)化的安全和對抗技術演練幫助學員迅速掌握：
■如何開發(fā)一個內核模塊，并對內核模塊進行測試和調試？
■如何進行系統(tǒng)藍屏分析？
■應用層和內核層的通信是如何進行的？
■如何在內核層操作字符串，文件，注冊表，內存和線程？
■如何在內核層進行文件進程的強刪和強殺？
■如何進行文件系統(tǒng)，注冊表，網絡，進程的監(jiān)控？
■主動防御，云查殺，沙盒的內核技術原理是什么？
■ROOTKIT和BOOTKIT是如何查殺的？等等
整個課程包含了大量的實際項目例子，通過案例闡述在實際項目中的內核技術和安全對抗，提升學員的實際內核開發(fā)能力，安全對抗能力，并在實際項目中理解應用層和系統(tǒng)底層的交互，深入理解系統(tǒng)底層。

【學員基礎】
■有一定的C語言和匯編基礎
■學習過數(shù)據(jù)結構
■了解操作系統(tǒng)原理，編譯原理
■對軟件開發(fā)過程有基本的概念

【課程大綱】
Day1
上午

內核編程入門
第一部分：內核模塊代碼編寫，編譯和測試
1.內核安全與技術概述
2.內核模塊編寫編譯測試
3.內核模塊數(shù)字簽名

第二部分：使用Windbg進行內核模塊調試
1.Windbg+虛擬機調試內核模塊
2.如何下斷點
3.如何使用調試命令
4.如何進行藍屏分析案例練習:組織大家使用內核開發(fā)環(huán)境編寫一個簡單的內核模塊，并進行測試，觀察內核模塊輸出結果。
（注意：內核開發(fā)環(huán)境搭建文檔提前發(fā)給大家，提前準備）
案例練習：讓學員利用搭建的內核調試環(huán)境，調試上個練習中開發(fā)的內核模塊。必須學會符號加載，斷點設置，單步跟蹤，內存查看，藍屏分析等調試方法
Day1
下午

內核編程進階
第一部分 應用層與內核層通信
1.應用層API與內核分發(fā)函數(shù)關系
2.基于緩存通信方式
3.直接IO，和第三種通信方式
4.讀寫和IOCONTROL演練

第二部分 內核內存，字符串，文件，注冊表，多線程
1.內核內存分配特點及注意事項
2.內核字符串使用方法
3.內核文件和注冊表訪問方法
4.內核創(chuàng)建多線程及IRQL案例練習：利用一個NT驅動框架模型，給大家實際演示內核和應用程序通訊的完整過程，觀察從應用層發(fā)送讀，寫，控制請求到內核層，內核是如何處理這些請求的，請求結果是如何上傳給應用層程序的。在應用層和內核層通信的時候，可以采用的3種通信方式的特點；

代碼分析：通過實際代碼分析如何在內核中進行內存分配，字符串處理，文件注冊表訪問和多線程創(chuàng)建等。
Day2
上午

內核開發(fā)提高
第一部分 內核爆搜，強刪與強殺
1.特征碼與內核暴力搜索
2.驅動文件強刪例子
3.驅動進程強殺例子
第二部分 驅動，進程，文件，注冊表，網絡監(jiān)控
1.驅動加載監(jiān)控
2.進程創(chuàng)建監(jiān)控
3.文件系統(tǒng)監(jiān)控minifilter
4.注冊表系統(tǒng)監(jiān)控
5.網絡通信監(jiān)控案例練習：通過幾個實際的項目例子，為大家演示如何利用內核技術進行內存的暴力搜索，驅動文件強刪（正在運行中的程序和獨占打開的文件）以及進程強刪的例子。
案例練習：通過若干個實際案例，演示如何在系統(tǒng)中利用內核技術來實現(xiàn)驅動加載、進程創(chuàng)建、文件系統(tǒng)訪問、注冊表訪問、網絡通信等方面的監(jiān)控，維護系統(tǒng)的安全性和可靠性，免受病毒和木馬的破壞。
Day2
下午

內核高級開發(fā)
第一部分 主防，云查殺，沙盒
1.主動防御是什么？
2.云查殺是如何做到的？
3.沙盒技術的原理分析
第二部分 上帝模式：VT技術與X64HOOK
1.X64系統(tǒng)遇到的安全問題
2.VT技術原理介紹
3.VT技術的實際應用:X64HOOK案例練習： 結合幾個實際例子，讓大家明白主動防御的具體實現(xiàn)，云查殺的作用，以及沙盒技術的應用，讓大家明白安全軟件中對內核技術的深入應用。
案例練習：通過案例演示，介紹VT技術的實現(xiàn)原理，系統(tǒng)在VT模式下的運行機制，以及使用VT技術實現(xiàn)在X64系統(tǒng)下的安全監(jiān)控。
Day3
上午

Rootkit與ARK工具對抗
第一部分 ARK對抗原理
1.ROOTKIT概述
2.ROOTKIT的隱藏機制
3.ARK（Anti-Rootkit）技術分析
第二部分 ARK工具對Rootkit查殺
1.HOOK檢測
2.文件檢測
3.進程檢測
4.驅動檢測
5.端口檢測等
案例分析：介紹典型的ROOTKIT的運行機制，包括對自己進程，文件，端口，注冊表，驅動的隱藏等，以及ARK工具利用內核技術，實現(xiàn)對這些隱藏對象的深入檢測。
案例練習：
結合強大的ARK工具PCHUNTER，演示PCHUNTER的使用方法，利用里面的各種功能實現(xiàn)對ROOTKIT的完美檢測。
Day3
下午

Bootkit查殺與對抗
第一部分 Bootkit進化發(fā)展
1.什么是BOOTKIT
2.BOOTKIT的發(fā)展歷史
第二部分 Bootkit分析與查殺
1.BOOTKIT運行機制
2.BOOTKIT的檢測與查殺
3.BOOTKIT最新技術演變
小結與答疑案例分析：
通過“鬼影”，“BMW”，“諜影”等復雜BOOTKIT木馬的演化進行詳細分析，給大家講解BOOTKIT的運行機制，技術特點以及查殺流程，感受內核和底層木馬對抗的激烈與精彩。

【講師介紹】
邵老師,曼頓培訓網(www.mdpxb.com)資深講師。邵老師安全界著名的C、匯編程序員，長期致力于x86體系架構與Windows系統(tǒng)底層技術的研究與相關商業(yè)軟件的開發(fā)。是著名的反rootkit工具DarkSpy的作者之一。
在從事程序設計與開發(fā)期間，主要參與研發(fā)的產品包括：
1．企業(yè)信息防泄密軟件的Windows內核驅動開發(fā)工作
2．著名反Rootkit軟件DarkSpy作者之一
3．某著名上市安全公司系統(tǒng)急救箱研發(fā)主要負責人
4．全球首例UEFI_BIOS木馬“諜影”（2017年4月）和著名的BOOTKIT木馬BMW發(fā)現(xiàn)者
5．某著名上市安全公司核心安全委員會成員之一（僅5人）
6． 暢銷書《天書夜讀:從匯編語言到Windows內核編程》和《寒江獨釣:windows內核安全編程》)(08年度暢銷榜TOP50)(09年度暢銷榜NO.8)作者之一

姚老師,曼頓培訓網(www.mdpxb.com)資深講師。 熟悉IDA、Ollydbg、Windbg等調試逆向工具的使用，具有很強的調試功底。精通桌面反病毒引擎、網絡病毒檢測引擎等反病毒技術，過去5年很多時間專注于研發(fā)這個。曾就職于安天，超級巡警。個人作品包括linxerUnpacker 虛擬機脫殼軟件，以及非常著名的 XueTr（現(xiàn)在更名為PCHUNTER） ARK工具，幾乎所有的病毒安全工程師都在使用的一款強大的安全工具，用來手工殺毒。

周老師,曼頓培訓網(www.mdpxb.com)資深講師。 曾就職于阿里，360，北大計算機研究所。 著有《程序員求職成功路：技術、求職技巧與軟實力培養(yǎng)》,《電腦系統(tǒng)與數(shù)據(jù)安全防護》，《加密與解密-第4版》（作者之一）等書，創(chuàng)辦了“麥洛克菲”高端IT內核安全培訓。

【費用及報名】
1、費用：培訓費6200元（含培訓費、講義費）；如需食宿，會務組可統(tǒng)一安排,費用自理。
2、報名咨詢：4006820825 010-56133998 56028090 13810210257 鮑老師
3、報名流程：電話登記-->填寫報名表-->發(fā)出培訓確認函
4、備注：如課程已過期，請訪問我們的網站，查詢最新課程
5、詳細資料請訪問北京曼頓培訓網：www.mdpxb.com (每月在全國開設四百多門公開課，歡迎報名學習)