系统内核安全训练营（邵老师）

学员基础
  有一定的C语言和汇编基础
  学习过数据结构
  了解操作系统原理，编译原理
  对软件开发过程有基本的概念
 
师资简介
由来自于一线安全公司BAT，360等独当一面的技术大牛专家亲自授课：
邵老师安全界著名的C、汇编程序员，长期致力于x86体系架构与Windows系统底层技术的研究与相关商业软件的开发。是著名的反rootkit工具DarkSpy的作者之一。
在从事程序设计与开发期间，主要参与研发的产品包括：
1．企业信息防泄密软件的Windows内核驱动开发工作
2．著名反Rootkit软件DarkSpy作者之一
3．某著名上市安全公司系统急救箱研发主要负责人
4．全球首例UEFI_BIOS木马“谍影”（2017年4月）和著名的BOOTKIT木马BMW发现者
5．某著名上市安全公司核心安全委员会成员之一（仅5人）
6． 畅销书《天书夜读:从汇编语言到Windows内核编程》和《寒江独钓:windows内核安全编程》)(08年度畅销榜TOP50)(09年度畅销榜NO.8)作者之一
姚老师  熟悉IDA、Ollydbg、Windbg等调试逆向工具的使用，具有很强的调试功底。精通桌面反病毒引擎、网络病毒检测引擎等反病毒技术，过去5年很多时间专注于研发这个。曾就职于安天，超级巡警。个人作品包括linxerUnpacker 虚拟机脱壳软件，以及非常著名的XueTr（现在更名为PCHUNTER）ARK工具，几乎所有的病毒安全工程师都在使用的一款强大的安全工具，用来手工杀毒。
周老师  曾就职于阿里，360，北大计算机研究所。 著有《程序员求职成功路：技术、求职技巧与软实力培养》,《电脑系统与数据安全防护》，《加密与解密-第4版》（作者之一）等书，创办了“麦洛克菲”高端IT内核安全培训。
 
培训内容

时间	内容	案例实践与练习
Day1 上午   内核编程入门	第一部分：内核模块代码编写，编译和测试 1.        内核安全与技术概述 2.        内核模块编写编译测试 3.        内核模块数字签名   第二部分：使用Windbg进行内核模块调试 1.        Windbg+虚拟机调试内核模块 2.        如何下断点 3.        如何使用调试命令 4.        如何进行蓝屏分析	案例练习:组织大家使用内核开发环境编写一个简单的内核模块，并进行测试，观察内核模块输出结果。 （注意：内核开发环境搭建文档提前发给大家，提前准备） 案例练习：让学员利用搭建的内核调试环境，调试上个练习中开发的内核模块。必须学会符号加载，断点设置，单步跟踪，内存查看，蓝屏分析等调试方法
Day1 下午   内核编程进阶	第一部分  应用层与内核层通信 1.        应用层API与内核分发函数关系 2.        基于缓存通信方式 3.        直接IO，和第三种通信方式 4.        读写和IOCONTROL演练   第二部分  内核内存，字符串，文件，注册表，多线程 1.        内核内存分配特点及注意事项 2.        内核字符串使用方法 3.        内核文件和注册表访问方法 4.        内核创建多线程及IRQL	案例练习：利用一个NT驱动框架模型，给大家实际演示内核和应用程序通讯的完整过程，观察从应用层发送读，写，控制请求到内核层，内核是如何处理这些请求的，请求结果是如何上传给应用层程序的。在应用层和内核层通信的时候，可以采用的3种通信方式的特点；   代码分析：通过实际代码分析如何在内核中进行内存分配，字符串处理，文件注册表访问和多线程创建等。
Day2 上午   内核开发提高	第一部分  内核爆搜，强删与强杀 1.        特征码与内核暴力搜索 2.        驱动文件强删例子 3.        驱动进程强杀例子 第二部分驱动，进程，文件，注册表，网络监控 1.        驱动加载监控 2.        进程创建监控 3.        文件系统监控minifilter 4.        注册表系统监控 5.        网络通信监控	案例练习：通过几个实际的项目例子，为大家演示如何利用内核技术进行内存的暴力搜索，驱动文件强删（正在运行中的程序和独占打开的文件）以及进程强删的例子。 案例练习：通过若干个实际案例，演示如何在系统中利用内核技术来实现驱动加载、进程创建、文件系统访问、注册表访问、网络通信等方面的监控，维护系统的安全性和可靠性，免受病毒和木马的破坏。
Day2 下午   内核高级开发	第一部分  主防，云查杀，沙盒 1.        主动防御是什么？ 2.        云查杀是如何做到的？ 3.        沙盒技术的原理分析 第二部分  上帝模式：VT技术与X64HOOK 1.        X64系统遇到的安全问题 2.        VT技术原理介绍 3.        VT技术的实际应用:X64HOOK	案例练习：结合几个实际例子，让大家明白主动防御的具体实现，云查杀的作用，以及沙盒技术的应用，让大家明白安全软件中对内核技术的深入应用。 案例练习：通过案例演示，介绍VT技术的实现原理，系统在VT模式下的运行机制，以及使用VT技术实现在X64系统下的安全监控。
Day3 上午   Rootkit与ARK工具对抗	第一部分ARK对抗原理 1.        ROOTKIT概述 2.        ROOTKIT的隐藏机制 3.        ARK（Anti-Rootkit）技术分析 第二部分  ARK工具对Rootkit查杀 1.        HOOK检测 2.        文件检测 3.        进程检测 4.        驱动检测 5.        端口检测等	案例分析：介绍典型的ROOTKIT的运行机制，包括对自己进程，文件，端口，注册表，驱动的隐藏等，以及ARK工具利用内核技术，实现对这些隐藏对象的深入检测。 案例练习： 结合强大的ARK工具PCHUNTER，演示PCHUNTER的使用方法，利用里面的各种功能实现对ROOTKIT的完美检测。
Day3 下午   Bootkit查杀与对抗	第一部分  Bootkit进化发展 1.   什么是BOOTKIT 2.   BOOTKIT的发展历史 第二部分  Bootkit分析与查杀 1.        BOOTKIT运行机制 2.        BOOTKIT的检测与查杀 3.        BOOTKIT最新技术演变 小结与答疑	案例分析： 通过“鬼影”，“BMW”，“谍影”等复杂BOOTKIT木马的演化进行详细分析，给大家讲解BOOTKIT的运行机制，技术特点以及查杀流程，感受内核和底层木马对抗的激烈与精彩。

 
六、课程目标
  提供内核开发从代码编写编译，到测试和调试的方法和流程。
  通过全过程案例分析，使学员全面经历内核技术在安全领域的各种应用，在边做边学中增强其利用内核技术解决实际安全问题的能力。
  对学员的实际项目进行咨询指导，帮助其完善安全产品技术架构。
  提供后续服务，掌握数字时代学习新理念，提升自我学习能力。