以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
Reverse-Engineering Malware:Malware Analysis Tools and Techniques
2026年10月19日(月)~2026年10月24日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:次の手順に沿って設定されたノートPCをご準備ください。
FOR610に参加するには、要件を満たした適切に構成されたシステムが必要です。
受講前にシステムをバックアップするか、重要なデータのないマシンを持参ください。SANS は、受講者のシステムやデータに対して一切責任を負いません。
ご不明な点がございましたら、カスタマーサービスまでお問い合わせください。
FOR610: Reverse-Engineering Malware: Malware Analysis Tools and Techniquesでは、Windowsシステムを標的とするマルウェアを分析するための実践的なスキルを身につけられます。ラボとキャプチャー・ザ・フラグ(CAPTURE-THE-FLAG)チャレンジを通して、受講者は高度なツールを用いてマルウェアの機能を明らかにし、難読化手法を分析し、一般的な脅威に対応します。このマルウェア分析コースは、脅威インテリジェンス、インシデント対応、そして企業防御の強化を目指す方に最適です。
何千人ものマルウェア分析専門家が、FOR610: Reverse-Engineering Malwareを受講してその道を歩み始めています。この実践的なコースは、サイバーセキュリティにおける楽しくもやりがいのある分野への入り口です。専門家による指導と没入型のハンズオンラボを組み合わせることで、Windowsシステムを標的とする悪意のあるソフトウェアを分析する方法を習得できます。
このトレーニングでは、自動化ツールにとどまらず、逆アセンブラ、デバッガ、監視ユーティリティを用いて動作パターンを解釈し、侵入の痕跡(IOC)を抽出し、マルウェアの活動に関する重要な洞察を得る方法も学びます。このコースでは、コンパイル済みのWindows実行ファイルに加え、悪意のあるドキュメントファイルやスクリプトの分析についても学びます。また、サンドボックス回避やファイルレスマルウェアといった分析対策技術への対策も学びます。
魅力的なラボとキャプチャー・ザ・フラグ方式のチャレンジを通して、FOR610では、悪意のあるソフトウェアが関与する実際のインシデント対応やフォレンジック調査に取り組むことで、スキルを磨くことができます。
FOR610マルウェア分析トレーニングでは、以下の内容を学習します。
FOR610: Reverse-Engineering Malware: Malware Analysis Tools and Techniquesは、マルウェア分析スキルの開発または強化を目指すサイバーセキュリティ専門家向けに設計されています。
FOR610で学ぶマルウェア分析プロセスは、インシデント対応者やその他のセキュリティ専門家が、悪意のあるソフトウェアが関与する状況の深刻度と影響を評価し、復旧手順を計画するのに役立ちます。フォレンジック調査員は、調査中に発見されたマルウェアの主要な特性、例えば、侵害の兆候(IOC)を確立する方法や、インシデントの分析、スコープ設定、封じ込めのためのその他の脅威インテリジェンスの詳細を取得する方法などについても学びます。
悪意のあるプログラム、または疑わしいプログラムはどのような脅威をもたらすのでしょうか。そのメカニズムから、攻撃者の目的と能力について何が明らかになるのでしょうか。企業のセキュリティ対策は、このような感染に対してどの程度有効でしょうか。どのようなセキュリティ対策が、将来的な同様の攻撃から組織のインフラストラクチャを強化できるのでしょうか。このコースでは、組織がマルウェアの脅威や関連インシデントに対処する上で重要な、これらの質問やその他の質問に答えるために必要なスキルを習得します。
このコースは、以下の方に最適です。
セクション1では、マルウェアの相互作用と内部構造を理解するための静的解析、動作解析、コード解析といった基本的なマルウェア解析手法を紹介します。受講者は、WindowsおよびREMnux仮想マシンを用いた柔軟なラボ環境を構築し、講師の指導のもと、これらの解析を効果的に実施します。
セクション2では、Windows実行ファイルのアセンブリレベル解析について深く掘り下げ、Ghidraなどのツールを用いたマルウェア解析における主要なx86およびx64の概念を学習します。受講者は、実践的な演習を通して、逆アセンブルされたコードの解釈、制御フローの追跡、コマンド&コントロールなどの一般的なマルウェアの特徴の特定方法を習得します。
セクション2では、悪意のあるWindows実行ファイルをアセンブリレベルで静的に検証することに焦点を当てます。逆アセンブラやデコンパイラを用いて、サンプルの内部構造を調査する方法を学びます。このセクションでは、Ghidraを用いた実践演習を行います。まず、主要なコードリバースエンジニアリングの概念について概説し、マルウェア分析や命令、関数呼び出し、変数、ジャンプといった基本的なx86 Intelアセンブリ概念に関する入門的な側面を実験的に扱います。専門知識を体系化し、拡張するとともに、関数、ループ、条件文といったこの分野で一般的なアセンブリ構造の検証方法を学びます。この教材は、この基礎を基に構築され、64ビットマルウェアへの理解を深めたいと考えている実践者向けの教材です。
このディスカッションを通して、HTTPコマンド&コントロール、アーティファクト抽出、コマンド実行など、コードレベルでの一般的な特性を認識する方法を学習します。
セクション3では、悪意のあるドキュメントとスクリプトの分析、PDFの調査手法、Officeファイル内のVBAマクロ、RTFドキュメント、JavaScriptの難読化解除について解説します。受講者は、脅威の特定、侵害の兆候(IOC)の抽出、そしてこれらのファイル形式におけるシェルコードの機能について学習します。
セクション3では、Windowsエコシステムで蔓延するマルウェアのサンプルと手法について考察します。これらは従来の実行ファイルとは異なります。悪意のあるドキュメント(PDF、Microsoft Office、RTFファイル)の分析について解説します。また、疑わしいWebサイトがもたらす脅威を調査する方法についても学びます。さらに、シェルコードの分析、JavaScriptおよびPowerShellスクリプトの処理、.NETマルウェアの調査手法についても紹介します。
セクション4では、マルウェア分析の高度な手法を深く掘り下げ、.NETや「ファイルレス」の脅威を含む、マルチテクノロジーマルウェアのアンパック、難読化解除、分析に焦点を当てます。受講者は、パッカーの識別、コードインジェクション手法の処理、難読化されたJavaScript、PowerShell、シェルコードの解析方法を学習します。
セクション4では、コースの前半で紹介した動作分析とコード分析のアプローチを基に、悪意のあるプログラムの機能の新たな側面を明らかにする手法を探求します。このセクションでは、悪意のあるドキュメント、疑わしいWebサイト、その他の攻撃で遭遇する可能性のあるJavaScriptの難読化解除の実践的な手法について解説します。次に、パックされたマルウェアの対処方法を学習します。デバッガなどのユーティリティを用いて、パッカーを識別し、その保護を解除する方法を探ります。また、レジストリ、難読化されたJavaScriptおよびPowerShellスクリプト、シェルコードなど、複数の技術を用いてその本質を隠蔽するマルウェアサンプルを検証します。さらに、難読化またはパックされた.NETマルウェアの分析方法も学習します。最後に、マルウェアがコードインジェクションを実行して検出を回避し、プログラムが環境を認識する方法を妨害する仕組みを学習します。
セクション5では、マルウェア作成者が用いる分析回避手法を解説し、回避策の特定と回避、プロセスホロウイングを用いたマルウェアの解析、コードミスディレクションへの対処方法を学習します。このセクションでは、既存の手法を統合・拡張し、実践的な演習を通して、耐性を持つマルウェアの解析スキルを強化します。
セクション6では、キャプチャー・ザ・フラッグ・トーナメントを通してマルウェア分析スキルを習得します。実際のマルウェアを用いた実践的な課題が用意されています。この実践的な体験を通して、静的および動的分析、アンパック、そして自己防衛型マルウェアの検証といった主要技術を習得します。