您将通过 GREM 认证计划学到以下内容：说明

GIAC GREM 认证计划是获得新技能和展示您在逆向恶意软件分析方面的专业知识的绝佳方式。

要成功通过 GREM 认证考试，彻底了解事件响应是关键，包括规划、检测、缓解、分析和响应。 GIAC GREM 认证是业界最知名和最广泛接受的认证之一，它可以帮助您更好地了解恶意软件，从而提升您的职业生涯。

这篇博文将介绍您将通过 GIAC GREM 认证培训计划学习哪些技能。

什么是 GIAC GREM 认证考试？

GIAC 逆向工程恶意软件 (GREM) 认证是业界认可的认证，可验证个人的逆向工程原理和技术技能和知识。 GIAC GREM 认证计划专为保护组织免受恶意代码侵害的技术人员（信息技术工程师）而设计。

GIAC GREM 认证的专业人员精通对常见平台（例如 Microsoft Windows 和 Web 浏览器）的恶意软件进行逆向工程。他们是取证调查、事件响应和 Windows 系统管理方面的专家。通过 GREM 认证，您可以向雇主或客户展示您尖端的恶意软件分析技能。

为了获得 GIAC GREM 认证，您必须通过一项考试，该考试测试您在以下领域的技能和知识：

• 分析恶意文档文件、分析受保护的可执行文件和分析基于 Web 的恶意软件。

• 深入分析恶意浏览器脚本和深入分析恶意可执行文件。

• 使用内存取证和恶意软件代码和行为分析基础进行恶意软件分析。

• 用于逆向工程的 Windows 汇编代码概念和汇编中常见的 Windows 恶意软件特征。

GIAC GREM 考试是一个 2-3 小时的在线测试，包含 66-75 道多项选择题。要通过 GREM 认证考试，考生必须获得至少 73% 的及格分数。

您将学到什么

GIAC GREM 认证提供有关如何彻底剖析恶意软件的知识。GIAC GREM 认证课程详细探讨了恶意软件分析工具和技术。GIAC 逆向工程恶意软件 (FOR610) 培训计划帮助取证调查员、事件响应者、安全工程师和威胁分析师学习分析恶意程序的实用技能。

您必须了解恶意软件获取威胁情报、应对网络安全事件和加强企业防御的能力。GREM 认证课程将帮助您准备使用各种网络监控实用程序、汇编程序、调试器和其他免费工具对恶意软件进行逆向工程。

作为课程的一部分，您将探索恶意软件分析的基本知识，使您能够超越自动分析结果。在本课程中，您将学习如何使用灵活的实验室在实验室中检查恶意软件的内部工作原理和现实世界的恶意软件样本。此外，您还将学习如何在实验室中解密和拦截网络流量以获得更多见解。除了掌握使用调试器的动态代码分析技术外，您还将学习如何分析源代码。

您的下一个任务是分析恶意的 Microsoft Office、RTF 和 PDF 文档文件，这些文件通常用于主流和有针对性的攻击。 GIAC GREM 认证计划还将涵盖此类文档中的宏和其他潜在威胁。您还将学习如何对包含恶意代码的 JavaScript 和 PowerShell 脚本进行反混淆。

GIAC GREM (FOR610) 认证培训计划将教您如何：

• 设置一个隔离的、受控的实验室环境来分析恶意代码和行为。
• 使用网络和系统监视工具，监视恶意软件如何与 Windows 环境中的文件系统、注册表、网络和其他进程交互。
• 调查和分析漏洞利用工具包经常用来发起驱动网站攻击的恶意 JavaScript 和其他 Web 组件。
• 利用网络流量拦截和代码修补来有效分析恶意软件行为。
• 使用反汇编程序和调试器检查恶意 Windows 可执行文件的内部工作原理。
• 绕过恶意软件作者设计的各种打包程序和其他防御机制，以混淆、误导和减慢分析师的速度。
• 理解和识别恶意代码中常见的汇编级模式，例如代码注入、API 挂钩和反分析措施。
• 评估与恶意 PDF 和 Microsoft Office 文档相关的威胁。
• 使用恶意可执行文件获取事件响应和威胁情报的入侵指标 (IOC)。

GREM 认证考试大纲

FOR610.1：恶意软件分析基础

• 组装工具包以进行有效的恶意软件分析
• 检查可疑程序的静态属性
• 对恶意 Windows 可执行文件进行行为分析；对恶意 Windows 可执行文件执行动态代码分析
• 在实验室中探索恶意软件的网络交互以发现更多特性

FOR610.2：逆向恶意代码

• 了解用于恶意代码分析的核心 x86 汇编概念
• 使用反汇编程序识别关键汇编构造
• 遵循程序控制流以了解决策点
• 在 Windows API 级别识别常见恶意软件特性
• 扩展汇编知识以包括 x64 代码分析

FOR610.3：分析恶意文档

• 恶意 PDF 文件分析，包括可疑网站的分析； Microsoft Office 文档中的 VBA 宏
• 检查恶意 RTF 文件，包括分析 shellcode
• 理解 XLM 宏

FOR610.4：深入恶意软件分析

• 反混淆恶意 JavaScript
• 识别打包的 Windows 恶意软件
• 开始解包
• 使用调试器从内存中转储打包的恶意软件，分析多技术和“无文件”恶意软件
• 代码注入和 API 挂钩

FOR610.5：检查自我防御恶意软件

• 恶意软件如何检测调试器并保护嵌入数据
• 解包使用进程挖空的恶意软件
• 绕过恶意软件检测和逃避分析工具的尝试
• 处理代码误导技术，包括 SEH 和 TLS 回调
• 通过预测打包程序的操作来解包恶意可执行文件

FOR610.6：恶意软件分析锦标赛

• 恶意软件分析基础知识
• 使用静态和动态技术逆向恶意代码
• 分析恶意文档
• 深入分析恶意软件，包括解包
• 检查自我防御恶意软件

参加 GREM 认证的先决条件是什么？

GIAC 恶意软件逆向工程 (FOR610) 考生应具备以下条件：

• 必须拥有符合笔记本电脑规格的计算机系统；学生上课前需要安装一些软件。
• 了解 Windows 和 Linux 操作环境并解决与操作系统连接和设置相关的一般问题。
• 了解 VMware 以及如何导入和配置虚拟机。
• 对变量、循环和函数等核心编程概念的一般了解将使您能够快速掌握相关概念。不需要编程经验。

谁可以参加 GREM 考试？

GREM 认证是安全行业最受推崇的认证之一。通过 GREM 认证，您可以展示您在恶意软件逆向工程方面的知识和技能。除此之外，拥有 GREM 认证徽章可以让您从其他安全专业人员中脱颖而出，让您成为抢手的安全专业人员。

以下是您可以担任 GREM 的角色：

• 系统和网络管理员

• 审计员

• 安全顾问

• 安全经理

• 处理恶意软件事件的个人

• 安全从业人员

• 取证调查员

• 那些寻求正规化和扩展其技术专业知识的人

底线

GIAC GREM 认证培训计划是最有价值的证书之一，它教授有关恶意软件及其处理方法的知识。GREM 认证旨在为事件响应者和安全专业人员提供评估涉及恶意软件的事件严重性和事件影响的技能，以便他们可以规划恢复所需的步骤。

取证调查员还可以在检查过程中更好地了解恶意软件的主要特征，包括这些特征与入侵指标出现之间的关系，以及如何根据这些指标确定事件的范围和遏制。

如果您想参加 GIAC GREM 认证考试，CBT Proxy 可以帮助您在第一次尝试时通过该考试。如果您想了解有关如何准备考试以及如何开始的更多信息，请点击下面的聊天按钮，以便我们的一位导游为您提供帮助。