GIAC GREM 认证计划是获得新技能和展示您在逆向恶意软件分析方面专业知识的绝佳方式。
要成功通过 GREM 认证考试,透彻了解事件响应是关键,包括计划、检测、缓解、分析和响应。 GIAC GREM 认证是业界最知名和最广泛接受的认证之一,可以帮助您更好地了解恶意软件,从而推动您的职业发展。
这篇博文将介绍您将通过 GIAC GREM 认证培训计划学到哪些技能。
什么是 GIAC GREM 认证考试?
GIAC 逆向工程恶意软件 (GREM) 认证是一项行业认可的认证,可验证个人在逆向工程原理和技术方面的技能和知识。 GIAC GREM 认证计划专为保护组织免受恶意代码侵害的技术人员(信息技术工程师)而设计。
GIAC GREM 认�证的专业人员精通针对常见平台(例如 Microsoft Windows 和 Web 浏览器)的恶意软件逆向工程。他们是取证调查、事件响应和 Windows 系统管理方面的专家。通过 GREM 认证,您可以向您的雇主或客户展示您尖端的恶意软件分析技能。
为了获得 GIAC GREM 认证,您必须通过一项考试来测试您在以下领域的技能和知识:
- 分析恶意文档文件、分析受保护的可执行文件以及分析基于 Web 的恶意软件。
- 深入分析恶意浏览器脚本和深入分析恶意可执行文件。
- 使用内存取证和恶意软件代码以及行为分析基础的恶意软件分析。
- 用于逆向工程的 Windows 汇编代码概念和汇编中常见的 Windows 恶意软件特征。
GIAC GREM 考试是一个 2-3 小时的在线测试,包含 66-75 道多项选择题。要通过 GREM 认证考试,考生必须获得至少 73% 的及格分数。
你将学到什么
GIAC GREM 认证提供了有关如何将恶意软件彻底颠覆的知识。 GIAC GREM 认证课程详细探讨了恶意软件分析工具和技术。 GIAC 逆向工程恶意软件 (FOR610) 培训计划已帮助取证调查员、事件响应人员、安全工程师和威胁分析师学习分析恶意程序的实用技能。
您必须了解恶意软件获取威胁情报、响应网络安全事件和加强企业防御的能力。 GREM 认证课程将帮助您使用各种网络监控实用程序、汇编器、调试器和其他免费工具对恶意软件进行逆向工程。
作为课程的一部分,您将探索恶意软件分析的基本要素,使您能够超越自动分析结果。在本课程中,您将学习如何使用灵活的实验室来检查实验室中的恶意软件的内部工作原理和真实世界的恶意软件样本。此外,您还将学习如何在实验室中破译和拦截网络流量以获得更多见解。除了掌握使用调试器的动态代码分析技术外�,您还将学习如何分析源代码。
您的下一个任务是分析通常用于主流攻击和针对性攻击的恶意 Microsoft Office、RTF 和 PDF 文档文件。 GIAC GREM 认证计划还将涵盖此类文档中的宏和其他潜在威胁。您还将学习如何对包含恶意代码的 JavaScript 和 PowerShell 脚本进行去混淆处理。
GIAC GREM (FOR610) 认证培训计划将教您如何:
- 建立隔离、受控的实验室环境来分析恶意代码和行为。
- 使用网络和系统监控工具,监控恶意软件如何与 Windows 环境中的文件系统、注册表、网络和其他进程交互。
- 调查和分析恶意 JavaScript 和其他利用工具包经常用来发起偷渡式网站攻击的 Web 组件。
- 利用网络流量拦截和代码修补来有效分析恶意软件行为。
- 使用反汇编程序和调试器检查恶意 Windows 可执行文件的内部工作原理。
- 绕过恶意软件作者设计的各种加壳程序和其他防御机制,以混淆、误导或以其他方式减慢分析人员的速度。
- 理解和识别恶意代码中常见的汇编级模式,例如代码注入、API 挂钩和反分析措施。
- 评估与恶意 PDF 和 Microsoft Office 文档相关的威胁。
- 使用恶意可执行文件获取事件响应和威胁情报的危害指标 (IOC)。
GREM 认证考试大纲
FOR610.1:恶意软件分析基础
- 组装工具包以进行有效的恶意软件分析
- 检查可疑程序的静态属性
- 对恶意 Windows 可执行文件进行行为分析;对恶意 Windows 可执行文件执行动态代码分析
- 在实验室中探索恶意软件的网络交互以获得更多特征
FOR610.2:逆向恶意代码
- 了解用于恶意代码分析的核心 x86 汇编概念
- 使用反汇编器识别关键的装配结构
- 遵循程序控制流程以了解决策点
- 识别 Windows API 级别的常见恶意软件特征
- 扩展汇编知识以包括 x64 代码分析
FOR610.3:分析恶意文档
- 恶意PDF文件分析,包括对可疑网站的分析; Microsoft Office 文档中的 VBA 宏
- 检查恶意 RTF 文件,包括 shellcode 分析
- 理解 XLM 宏
FOR610.4:深度恶意软件分析
- 反混淆恶意 JavaScript
- 识别打包的 Windows 恶意软件
- 开始拆包
- 使用调试器从内存中转储打包的恶意软件,分析多技术和“无文件”恶意软件
- 代码注入和 API 挂钩
FOR610.5:检查自卫恶意软件
- 恶意软件如何检测调试器并保护嵌入式数据
- 解压采用进程挖空的恶意软件
- 绕过恶意软件检测和逃避分析工具的尝试
- 处理代码误导技术,包括 SEH 和 TLS 回调
- 通过预测打包程序的操作来解包恶意可执行文件
FOR610.6:恶意软件分析锦标赛
- 恶意软件分析基础
- 使用静态和动态技术逆转恶意代码
- 分析恶意文件
- 深入的恶意软件分析,包括解包
- 检查自我防御的恶意软件
参加GREM认证的先决条件是什么?
GIAC 逆向工程恶意软件 (FOR610) 考生应该:
- 必须有符合笔记本电脑规格的电脑系统;在学生上课之前需要安装一些软件。
- 了解 Windows 和 Linux 操作环境并解决与操作系统连接和设置相关的一般问题。
- 了解 VMware 以及如何导入和配置虚拟机。
- 对核心编程概念(如变量、循环和函数)的一般理解将使您能够快速掌握相关概念。不需要编程经验。
谁可以参加 GREM 考试?
GREM 认证是安全行业最受推崇的认证之一。通过 GREM 认证,您可以展示您在恶意软件逆向工程方面的知识和技能。最重要的是,拥有 GREM 认证徽章可以让您从其他安全专家中脱颖而出,让您成为抢手的安全专家。
以下是您可以使用 GREM 扮演的角色:
- 系统和网络管理员
- 审计师
- 安全顾问
- 安全经理
- 处理恶意软件事件的个人
- 安全从业者
- 法医调查员
- 那些寻求正规化和扩展其技术专业知识的人
底线
GIAC GREM 认证培训计划是教授恶意软件及其处理方法的最有价值的证书之一。 GREM 认证旨在为事件响应人员和安全专业人员提供技能,以评估涉及恶意软件的事件的严重性和事件的影响,以便他们可以计划恢复所需的步骤。
取证调查员在检查过程中还可以更好地了解恶意软件的关键特征,包括这些特征与妥协指标的出现之间的关系,以及如何根据这些指标确定事件的范围和遏制。
如果您想参加 GIAC GREM 认证考试,CBT Proxy 可以帮助您在第一次尝试时通过该考试。如果您想了解有关如何准备考试和如何开始考试的更多信息,请单击下面的聊天按钮,以便我们的一位指南可以为您提供帮助。
