GitHub
4月中旬,隸屬於Google Cloud的資安公司Mandiant宣布,由旗下專注於逆向工程與惡意程式分析的研究團隊FLARE(FireEye Labs Advanced Reverse Engineering)推出FLARE Learning Hub,免費提供逆向工程與惡意程式分析教學內容,並提供實作導向模組,鎖定資安研究人員與企業防禦團隊的技能培訓需求。
Mandiant表示,FLARE Learning Hub整合團隊累積近20年的教學與研究經驗,採用實作導向設計,透過Google Docs提供課程教材,並於GitHub儲存庫中同步釋出對應實驗資源,包括惡意程式樣本、指令碼與分析資料。目前平臺提供三個教學模組,涵蓋惡意程式分析入門課程(Malware Analysis Crash Course)、Go可執行檔逆向工程參考資料(The Go Reverse Engineering Reference),以及時間回溯除錯入門教學(An Introduction to Time Travel Debugging),協助學習者逐步建立從基礎到進階的分析能力。
在教學內容中,FLARE團隊也透過實際案例示範,如何將TTD應用於惡意程式分析流程。該技術為Windows除錯工具WinDbg提供的功能,可完整記錄處理程序執行過程,並支援向前與向後回溯執行歷程。透過查詢CreateProcess與WriteProcessMemory等Windows API呼叫,資安分析人員可快速辨識惡意程式中的處理程序挖空(Process Hollowing)行為,並從記憶體中還原隱藏載荷,進一步分析其運作機制與潛在資料竊取行為。相較於傳統逐步除錯方式,TTD可將分析流程轉為以資料查詢為核心,有助於在面對多層混淆與複雜攻擊鏈時縮短分析時間。
FLARE團隊建議,使用者在進行模組練習時,應先透過FLARE-VM建立安全隔離的虛擬機器環境,並搭配支援快照功能的虛擬化工具,以便在不同分析階段快速還原系統狀態。目前所有教學模組僅支援Intel x86-64架構。
研究人員也提醒,儘管平臺提供的二進位檔與指令碼僅用於教學示範,但部分行為與惡意程式相似,可能被防毒軟體判定為威脅。建議僅於隔離環境中執行相關內容,以避免影響實際系統運作。
