Feb
28
SC4Y ('20#4) Ghidra ハンズオン ワークショップ
Malware Analysis and Detection Eng. with Ghidra
Organizing : 北海道地域情報セキュリティ連絡会 (HAISL)
Registration info |
Slack + Zoom 参加 (道内 16〜30歳 限定) Free
FCFS
Youtube Live 視聴 Free
FCFS
|
---|---|
参加者への情報 |
(参加者と発表者のみに公開されます)
|
Description
イベント概要
- 日時:2021/2/28(日) 12:50 - 16:20
- YouTube Live:12:50〜 (urlはconnpass にご登録の上、ご確認ください)
- 参加費:無料
- 講師: Allsafe (中島 将太 氏(@pinksawtooth)、 原 弘明 氏)
- 主催:北海道地域情報セキュリティ連絡会 (HAISL)
- 協力:北海道情報セキュリティ勉強会 (せきゅぽろ)、一般社団法人LOCAL
参加枠 | 参加制限 |
---|---|
Slack, Zoom | 北海道に所在する大学(院)・短期大学・専修学校・高等専門学校に在学中の学生、道内在住の16歳以上30歳以下の方(未成年者は保護者の承諾が必要です) |
Youtube Live | どなたでも視聴できます |
米国家安全保障局(NSA)が公開したソフトウェアリバースエンジニアリングツール "Ghidra" のハンズオン ワークショップ です
概要
OSSのリバースエンジニアリングツールGhidraを使用し、マルウェア解析の基礎からYaraルールの作成までおこないます。本ワークショップは、マルウェア解析初学者向けの内容になっています。
-
Basic of Malware Analysis (30m)
マルウェア解析とは何なのか、具体的にどのようにおこなうのか、解析の基礎部分を学びます。 -
Static Analysis with Ghidra (1.5h)
サンプルプログラムの解析を通じて、Ghidraの基礎的な使い方や実践的な静的解析手法を学びます。 -
Write Yara Rule with Ghidra (1h)
静的解析のアウトプットとして、マルウェアを識別および分類するためのYaraルールを作成します。
準備するもの (Slack, Zoom参加の方)
- Ghidra 9.2.2(以下手順をもとにインストール+環境設定をすましておいてください)
- https://hackmd.io/@qKyR9Y4rS7y7ytUCRr6FRg/r1bKXhogu
- Yaraのインストール
- Windowsユーザ: https://github.com/VirusTotal/yara/releases から最新版を取得しておいてください
- Linux/macOSユーザ: https://yara.readthedocs.io/en/stable/gettingstarted.html をもとにインストールを実施してください
タイムテーブル
時間 | 内容 |
---|---|
12:35 - 12:50 |
参加者接続確認 |
12:50 - 13:00 |
オープニング |
13:00 - 13:30 |
Basic of Malware Analysis マルウェア解析とは何なのか、具体的にどのようにおこなうのか、解析の基礎部分を学びます。 |
13:30 - 15:00 |
Static Analysis with Ghidra サンプルプログラムの解析を通じて、Ghidraの基礎的な使い方や実践的な静的解析手法を学びます。 |
15:10 - 16:10 |
Write Yara Rule with Ghidra 静的解析のアウトプットとして、マルウェアを識別および分類するためのYaraルールを作成します。 |
16:10 - 16:20 |
クロージング |
講師紹介
中島 将太 氏
マルウェア解析、インシデントレスポンス業務、脅威情報の収集・分析業務に従事。JSAC、HITCON CMT、AVAR、CPRCon、Black Hat EUROPE Arsenal、CodeBlue BlueBoxなどで発表経験あり。技術系同人サークルAllsafeのプロデューサー。
原 弘明 氏
マルウェア解析やインシデントレスポンス、スレットリサーチ、レッドチームなどに従事。技術系同人サークルAllsafeの澤村・スペンサー・英梨々 (アートディレクター) 。
Media View all Media
If you add event media, up to 3 items will be shown here.