--- title : 資通訊安全實務 W1 tags : 第一組 --- # 資通訊安全實務 W1 ## 大綱 - 逆向分析 - 逆向分析能做甚麼 - APT 駭侵流程 - 惡意程式簡介 - 靜態分析 ## 逆向分析 **狹義**：分析別人的程式語言 source code -> EXE -> 組合語言 **廣義**：推到別人的思考邏輯 Demo.exe： 搜尋密碼錯誤 -> 密碼 369abc ### 逆向分析能做甚麼? - 沒有原始碼也能分析/修改程式碼 ## APT 駭侵流程 Advanced Persistent Threat (ATP) 進階持續滲透攻擊 1. 事前準備 2. 初期入侵 3. 控制感染電腦 4. 情資蒐集 (花時間) 5. 資料蒐集 6. 傳送機密資料回駭客電腦 ## 惡意程式簡介 1. 自我啟動 (ex. 重開機會自動執行) 2. 隱藏蹤跡 3. 網路通訊 (通常為內部網路向外連) **分析方向：** - 檢視電腦是否遭植入惡意程式？ - 後門程式藏在哪裡？做了甚麼？ - 駭客偷了甚麼資料？如何偷取？ - 駭客使用加密方式？新技術？ - 有無更多潛在遭駭電腦？ - 駭客下達指？活動習慣為何？ ### 惡意程式分析基礎 分析目的 IoCs 特徵 **建構環境最重要的功能：** - 確保你的環境不要被感染 - 確保惡意程式可以正常執行 虛擬機網路設定 - **NAT** 可透過主機連網，可上網 - **Bridge** VM 有獨立的 IP，可上網 - **Host-Only** 與主機互通，但無法上網 - **Internal Network** 只能與 VM 戶相連通 - **Not Attach** 都是獨立的  > 兩台主機建立連線 ## 靜態分析