您将通过 GREM 认证项目学到以下内容：详解

GIAC GREM 认证项目是提升技能、展现您在恶意软件逆向分析领域专业知识的绝佳途径。

要成功通过 GREM 认证考试，对事件响应的透彻理解至关重要，这包括计划、检测、缓解、分析和响应。GIAC GREM 认证是业内最知名、最受认可的认证之一，它可以帮助您更好地了解恶意软件，从而提升您的职业发展。

本文将探讨您将通过 GIAC GREM 认证培训项目学习到哪些技能。

什么是 GIAC GREM 认证考试？

GIAC 恶意软件逆向工程 (GREM) 认证是一项行业认可的认证，旨在验证个人在逆向工程原理和技术方面的技能和知识。GIAC GREM 认证项目专为保护组织免受恶意代码侵害的技术人员（信息技术工程师）而设计。

GIAC GREM 认证的专业人员精通针对常见平台（例如 Microsoft Windows 和 Web 浏览器）的恶意软件逆向工程。他们是取证调查、事件响应和 Windows 系统管理方面的专家。通过 GREM 认证，您可以向雇主或客户展示您前沿的恶意软件分析技能。

要获得 GIAC GREM 认证，您必须通过一项考试，该考试将测试您在以下领域的技能和知识：

• 恶意文档文件分析、受保护可执行文件分析和基于 Web 的恶意软件分析。

• 恶意浏览器脚本和恶意可执行文件的深入分析。

• 使用内存取证和恶意软件代码及行为分析基础知识进行恶意软件分析。

• 用于逆向工程的 Windows 汇编代码概念以及汇编中常见的 Windows 恶意软件特征。

GIAC GREM 考试是一项 2-3 小时的在线考试，包含 66-75 道选择题。要通过 GREM 认证考试，考生必须获得至少 73% 的及格分数。

您将学到什么

GIAC GREM 认证课程将帮助您深入了解恶意软件的运作机制。该课程将详细讲解恶意软件分析工具和技术。GIAC 恶意软件逆向工程 (FOR610) 培训项目已帮助取证调查员、事件响应人员、安全工程师和威胁分析师掌握分析恶意程序的实用技能。

您必须了解恶意软件的功能，才能获取威胁情报、应对网络安全事件并加强企业防御。GREM 认证课程将指导您使用各种网络监控工具、汇编器、调试器和其他免费工具对恶意软件进行逆向工程。

作为课程的一部分，您将探索恶意软件分析的基础知识，从而超越自动化分析结果。在本课程中，您将学习如何使用灵活的实验室环境来检查恶意软件的内部运作机制以及真实的恶意软件样本。此外，您还将学习如何在实验室中破译和拦截网络流量，以获取更多信息。除了掌握使用调试器进行动态代码分析的技术外，您还将学习如何分析源代码。

您的下一个任务是分析恶意 Microsoft Office、RTF 和 PDF 文档文件，这些文件常用于主流攻击和定向攻击。GIAC GREM 认证课程还将涵盖此类文档中的宏和其他潜在威胁。您还将学习如何反混淆包含恶意代码的 JavaScript 和 PowerShell 脚本。

GIAC GREM (FOR610) 认证培训课程将教您如何：

• 搭建一个隔离的、受控的实验室环境，用于分析恶意代码和行为。

• 使用网络和系统监控工具，监控恶意软件在 Windows 环境中如何与文件系统、注册表、网络和其他进程交互。

• 调查和分析恶意 JavaScript 和其他 Web 组件，这些组件通常被利用来发起“路过式”网站攻击。

• 利用网络流量拦截和代码修补来有效地分析恶意软件的行为。 - 使用反汇编器和调试器检查恶意 Windows 可执行文件的内部运作机制。

• 绕过恶意软件作者设计的各种加壳程序和其他防御机制，这些机制旨在迷惑、误导和拖慢分析人员的进度。

• 理解并识别恶意代码中常见的汇编级模式，例如代码注入、API 钩子和反分析措施。

• 评估与恶意 PDF 和 Microsoft Office 文档相关的威胁。

• 使用恶意可执行文件导出入侵指标 (IOC)，用于事件响应和威胁情报。

GREM 认证考试大纲

FOR610.1：恶意软件分析基础

• 构建有效的恶意软件分析工具包

• 检查可疑程序的静态属性

• 对恶意 Windows 可执行文件进行行为分析；对恶意 Windows 可执行文件进行动态代码分析

• 在实验室环境中探索恶意软件的网络交互，以获取更多特征

FOR610.2：恶意代码逆向工程

• 理解用于恶意代码分析的核心 x86 汇编概念

• 使用反汇编器识别关键汇编结构

• 跟踪程序控制流以理解决策点

• 识别 Windows API 级别的常见恶意软件特征

• 扩展汇编知识，涵盖 x64 代码分析

FOR610.3：恶意文档分析

• 恶意 PDF 文件分析，包括可疑网站的分析； Microsoft Office 文档中的 VBA 宏

• 检查恶意 RTF 文件，包括 shellcode 分析

• 理解 XLM 宏

FOR610.4：恶意软件深度分析

• 反混淆恶意 JavaScript

• 识别打包的 Windows 恶意软件

• 解包入门

• 使用调试器从内存中转储打包的恶意软件，分析多技术和“无文件”恶意软件

• 代码注入和 API 钩子

FOR610.5：检查自防御恶意软件

• 恶意软件如何检测调试器并保护嵌入式数据

• 解包采用进程空洞技术的恶意软件

• 绕过恶意软件检测和规避分析工具的尝试

• 处理代码误导技术，包括 SEH 和 TLS 回调

• 通过预测打包器的操作来解包恶意可执行文件

FOR610.6：恶意软件分析竞赛

• 恶意软件分析基础

• 使用静态和动态技术逆向工程恶意代码

• 分析恶意代码文档

• 深入的恶意软件分析，包括解包

• 自我防御型恶意软件分析

参加 GREM 认证的先决条件是什么？

GIAC 恶意软件逆向工程 (FOR610) 考生应具备以下条件：

• 必须拥有符合笔记本电脑配置要求的计算机系统；部分软件需要在上课前安装。

• 了解 Windows 和 Linux 操作系统环境，并能解决与操作系统连接和设置相关的常见问题。

• 了解 VMware 以及虚拟机的导入和配置方法。

• 对变量、循环和函数等核心编程概念有基本的了解，将有助于您快速掌握相关概念。无需编程经验。

谁可以参加 GREM 考试？

GREM 认证是安全行业中最受认可的认证之一。通过 GREM 认证，您可以证明您在恶意软件逆向工程方面的知识和技能。此外，拥有 GREM 认证徽章能让您在众多安全专业人员中脱颖而出，成为炙手可热的安全专家。

以下是您可凭借 GREM 认证胜任的角色：

• 系统和网络管理员

• 审计员

• 安全顾问

• 安全经理

• 处理恶意软件事件的人员

• 安全从业人员

• 取证调查员

• 希望系统化并拓展技术专长的人员

总结

GIAC GREM 认证培训项目是教授恶意软件及其处理方法的最有价值的认证之一。GREM 认证旨在帮助事件响应人员和安全专业人员掌握评估恶意软件事件严重程度及其后果的技能，以便他们能够制定必要的恢复步骤。

取证调查员在检查过程中也能更好地理解恶意软件的关键特征，包括这些特征与入侵指标出现之间的关系，以及如何根据这些指标确定事件的范围和控制措施。

如果您想参加 GIAC GREM 认证考试，CBT Proxy 可以帮助您一次性通过。如果您想了解更多关于如何备考以及如何开始的信息，请点击下方的聊天按钮，我们的指导老师将为您提供帮助。