系統(tǒng)內(nèi)核安全訓練營（邵老師）

學員基礎
  有一定的C語言和匯編基礎
  學習過數(shù)據(jù)結構
  了解操作系統(tǒng)原理，編譯原理
  對軟件開發(fā)過程有基本的概念
 
師資簡介
由來自于一線安全公司BAT，360等獨當一面的技術大牛專家親自授課：
邵老師安全界著名的C、匯編程序員，長期致力于x86體系架構與Windows系統(tǒng)底層技術的研究與相關商業(yè)軟件的開發(fā)。是著名的反rootkit工具DarkSpy的作者之一。
在從事程序設計與開發(fā)期間，主要參與研發(fā)的產(chǎn)品包括：
1．企業(yè)信息防泄密軟件的Windows內(nèi)核驅(qū)動開發(fā)工作
2．著名反Rootkit軟件DarkSpy作者之一
3．某著名上市安全公司系統(tǒng)急救箱研發(fā)主要負責人
4．全球首例UEFI_BIOS木馬“諜影”（2017年4月）和著名的BOOTKIT木馬BMW發(fā)現(xiàn)者
5．某著名上市安全公司核心安全委員會成員之一（僅5人）
6． 暢銷書《天書夜讀:從匯編語言到Windows內(nèi)核編程》和《寒江獨釣:windows內(nèi)核安全編程》)(08年度暢銷榜TOP50)(09年度暢銷榜NO.8)作者之一
姚老師  熟悉IDA、Ollydbg、Windbg等調(diào)試逆向工具的使用，具有很強的調(diào)試功底。精通桌面反病毒引擎、網(wǎng)絡病毒檢測引擎等反病毒技術，過去5年很多時間專注于研發(fā)這個。曾就職于安天，超級巡警。個人作品包括linxerUnpacker 虛擬機脫殼軟件，以及非常著名的XueTr（現(xiàn)在更名為PCHUNTER）ARK工具，幾乎所有的病毒安全工程師都在使用的一款強大的安全工具，用來手工殺毒。
周老師  曾就職于阿里，360，北大計算機研究所。 著有《程序員求職成功路：技術、求職技巧與軟實力培養(yǎng)》,《電腦系統(tǒng)與數(shù)據(jù)安全防護》，《加密與解密-第4版》（作者之一）等書，創(chuàng)辦了“麥洛克菲”高端IT內(nèi)核安全培訓。
 
培訓內(nèi)容

時間	內(nèi)容	案例實踐與練習
Day1 上午   內(nèi)核編程入門	第一部分：內(nèi)核模塊代碼編寫，編譯和測試 1.        內(nèi)核安全與技術概述 2.        內(nèi)核模塊編寫編譯測試 3.        內(nèi)核模塊數(shù)字簽名   第二部分：使用Windbg進行內(nèi)核模塊調(diào)試 1.        Windbg+虛擬機調(diào)試內(nèi)核模塊 2.        如何下斷點 3.        如何使用調(diào)試命令 4.        如何進行藍屏分析	案例練習:組織大家使用內(nèi)核開發(fā)環(huán)境編寫一個簡單的內(nèi)核模塊，并進行測試，觀察內(nèi)核模塊輸出結果。 （注意：內(nèi)核開發(fā)環(huán)境搭建文檔提前發(fā)給大家，提前準備） 案例練習：讓學員利用搭建的內(nèi)核調(diào)試環(huán)境，調(diào)試上個練習中開發(fā)的內(nèi)核模塊。必須學會符號加載，斷點設置，單步跟蹤，內(nèi)存查看，藍屏分析等調(diào)試方法
Day1 下午   內(nèi)核編程進階	第一部分  應用層與內(nèi)核層通信 1.        應用層API與內(nèi)核分發(fā)函數(shù)關系 2.        基于緩存通信方式 3.        直接IO，和第三種通信方式 4.        讀寫和IOCONTROL演練   第二部分  內(nèi)核內(nèi)存，字符串，文件，注冊表，多線程 1.        內(nèi)核內(nèi)存分配特點及注意事項 2.        內(nèi)核字符串使用方法 3.        內(nèi)核文件和注冊表訪問方法 4.        內(nèi)核創(chuàng)建多線程及IRQL	案例練習：利用一個NT驅(qū)動框架模型，給大家實際演示內(nèi)核和應用程序通訊的完整過程，觀察從應用層發(fā)送讀，寫，控制請求到內(nèi)核層，內(nèi)核是如何處理這些請求的，請求結果是如何上傳給應用層程序的。在應用層和內(nèi)核層通信的時候，可以采用的3種通信方式的特點；   代碼分析：通過實際代碼分析如何在內(nèi)核中進行內(nèi)存分配，字符串處理，文件注冊表訪問和多線程創(chuàng)建等。
Day2 上午   內(nèi)核開發(fā)提高	第一部分  內(nèi)核爆搜，強刪與強殺 1.        特征碼與內(nèi)核暴力搜索 2.        驅(qū)動文件強刪例子 3.        驅(qū)動進程強殺例子 第二部分驅(qū)動，進程，文件，注冊表，網(wǎng)絡監(jiān)控 1.        驅(qū)動加載監(jiān)控 2.        進程創(chuàng)建監(jiān)控 3.        文件系統(tǒng)監(jiān)控minifilter 4.        注冊表系統(tǒng)監(jiān)控 5.        網(wǎng)絡通信監(jiān)控	案例練習：通過幾個實際的項目例子，為大家演示如何利用內(nèi)核技術進行內(nèi)存的暴力搜索，驅(qū)動文件強刪（正在運行中的程序和獨占打開的文件）以及進程強刪的例子。 案例練習：通過若干個實際案例，演示如何在系統(tǒng)中利用內(nèi)核技術來實現(xiàn)驅(qū)動加載、進程創(chuàng)建、文件系統(tǒng)訪問、注冊表訪問、網(wǎng)絡通信等方面的監(jiān)控，維護系統(tǒng)的安全性和可靠性，免受病毒和木馬的破壞。
Day2 下午   內(nèi)核高級開發(fā)	第一部分  主防，云查殺，沙盒 1.        主動防御是什么？ 2.        云查殺是如何做到的？ 3.        沙盒技術的原理分析 第二部分  上帝模式：VT技術與X64HOOK 1.        X64系統(tǒng)遇到的安全問題 2.        VT技術原理介紹 3.        VT技術的實際應用:X64HOOK	案例練習：結合幾個實際例子，讓大家明白主動防御的具體實現(xiàn)，云查殺的作用，以及沙盒技術的應用，讓大家明白安全軟件中對內(nèi)核技術的深入應用。 案例練習：通過案例演示，介紹VT技術的實現(xiàn)原理，系統(tǒng)在VT模式下的運行機制，以及使用VT技術實現(xiàn)在X64系統(tǒng)下的安全監(jiān)控。
Day3 上午   Rootkit與ARK工具對抗	第一部分ARK對抗原理 1.        ROOTKIT概述 2.        ROOTKIT的隱藏機制 3.        ARK（Anti-Rootkit）技術分析 第二部分  ARK工具對Rootkit查殺 1.        HOOK檢測 2.        文件檢測 3.        進程檢測 4.        驅(qū)動檢測 5.        端口檢測等	案例分析：介紹典型的ROOTKIT的運行機制，包括對自己進程，文件，端口，注冊表，驅(qū)動的隱藏等，以及ARK工具利用內(nèi)核技術，實現(xiàn)對這些隱藏對象的深入檢測。 案例練習： 結合強大的ARK工具PCHUNTER，演示PCHUNTER的使用方法，利用里面的各種功能實現(xiàn)對ROOTKIT的完美檢測。
Day3 下午   Bootkit查殺與對抗	第一部分  Bootkit進化發(fā)展 1.   什么是BOOTKIT 2.   BOOTKIT的發(fā)展歷史 第二部分  Bootkit分析與查殺 1.        BOOTKIT運行機制 2.        BOOTKIT的檢測與查殺 3.        BOOTKIT最新技術演變 小結與答疑	案例分析： 通過“鬼影”，“BMW”，“諜影”等復雜BOOTKIT木馬的演化進行詳細分析，給大家講解BOOTKIT的運行機制，技術特點以及查殺流程，感受內(nèi)核和底層木馬對抗的激烈與精彩。

 
六、課程目標
  提供內(nèi)核開發(fā)從代碼編寫編譯，到測試和調(diào)試的方法和流程。
  通過全過程案例分析，使學員全面經(jīng)歷內(nèi)核技術在安全領域的各種應用，在邊做邊學中增強其利用內(nèi)核技術解決實際安全問題的能力。
  對學員的實際項目進行咨詢指導，幫助其完善安全產(chǎn)品技術架構。
  提供后續(xù)服務，掌握數(shù)字時代學習新理念，提升自我學習能力。