Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ. Том 1 [Sektor7]
Red Team Operator: Malware Development Advanced - Vol.1
Язык: английский
Разработка продвинутых инструментов наступательной безопасности под Windows, включая: скрытое хранение данных, техники руткитов, поиск привилегированных объектов в системной памяти, обнаружение создания новых процессов, генерация и обработка исключений, создание COFFS и кастомных RPC-подобных инструментов, а также многое другое.
В мы рассмотрели некоторые темы, связанные с разработкой инструментов наступательной безопасности. На этот раз мы сосредоточимся на расширении полезной нагрузки с помощью дополнительных техник и методов в пользовательском пространстве.
Какие темы будут затронуты:
Содержание
Вы узнаете, как
Все видео, тексты и материалы на английском языке.
Цена: 23000р. ($239)
Red Team Operator: Malware Development Advanced - Vol.1
Язык: английский
Разработка продвинутых инструментов наступательной безопасности под Windows, включая: скрытое хранение данных, техники руткитов, поиск привилегированных объектов в системной памяти, обнаружение создания новых процессов, генерация и обработка исключений, создание COFFS и кастомных RPC-подобных инструментов, а также многое другое.
В мы рассмотрели некоторые темы, связанные с разработкой инструментов наступательной безопасности. На этот раз мы сосредоточимся на расширении полезной нагрузки с помощью дополнительных техник и методов в пользовательском пространстве.
Какие темы будут затронуты:
- способы скрыть полезную нагрузку в NTFS и registry hive
- изучение альтернатив перечисления объектов в системной памяти
- манипулирование блоками операционного окружения процессов с целью сокрытия модуля и запутывания потенциально работающего Windows Defender
- поиск .NET-процесса с RWX-памятью, подходящего для абьюза
- обнаружение создания нового процесса (из пользовательской среды)
- настройка глобальных хуков
- изучение нескольких руткит-техник в рамках пользовательского пространства для сокрытия файлов, ключей реестра и процессов
- злоупотребление памятью и аппаратными точками останова для хукинга
- сокрытие полезной нагрузки с помощью Gargoyle и аналогичные техники
- создание кастомного "RPC", позволяющего вызывать любую функцию API с любым количеством параметров в удаленном процессе
- изучение объектов COFF: как собирать, парсить, загружать и выполнять их в памяти
Содержание
Введение и настройка
Введение в курс. 3 мин.7.08 МБ
Настройка виртуальной машины для разработки. 3 мин.10,9 МБ
RTO-MalDev3.ova
MDA.zip. 1,93 МБ
Углы файловой системы
Затягивание времени. 9 мин.34,7 МБ
Альтернативные потоки данных - Введение. 4 мин.13,6 МБ
Альтернативные потоки данных — реализация. 7 мин.25.1 МБ
Реестровые кусты - Введение. 3 мин.10,9 МБ
Реестр кустов - Реализация. 5 мин.20,9 МБ
EA - Введение. 7 мин.20,3 МБ
EAs - Реализация. 14 мин.55,8 МБ
Перечисление объектов в памяти
Процессы - классический метод. 4 мин.15,6 МБ
Процессы - альтернативы Win API. 6 мин.26.2 МБ
Процессы - альтернативы собственным API. 7 мин.28,7 МБ
Модули - классический метод и альтернативы. 10 мин.46.3 МБ
Дескрипторы (токены, процессы, потоки и т. д.). 22 мин.178 МБ
Поиск .NET. 8 мин.34,2 МБ
Глобальные крючки
Монитор WMI - Введение. 6 мин.20,4 МБ
WMI Monitor - Реализация. 10 мин.37,5 МБ
SetWindowsHookEx — Введение. 6 мин.18.1 МБ
SetWindowsHookEx — реализация. 11 мин.39,5 МБ
Инфраструктура AppInit — Введение. 9 мин.51,2 МБ
Инфраструктура AppInit — Реализация. 6 мин.26.2 МБ
Технология руткитов Userland
Введение и демонстрация. 8 мин.35 МБ
Выполнение. 10 мин.44,2 МБ
Манипуляции с блоками среды процесса
Параметры. 10 мин.60,6 МБ
Списки модулей. 13 мин.74,3 МБ
Зацепление без патча
Страницы охраны - Введение. 8 мин.37,6 МБ
Страницы охраны - Реализация. 8 мин.34,8 МБ
Аппаратные точки останова - Введение. 9 мин.33,3 МБ
Аппаратные контрольные точки - Реализация. 9 мин.35,5 МБ
Скрытие памяти процесса
Горгулья и семья. 22 мин.86 МБ
Экко. 11 мин.46 МБ
NinjaGuard - Ninjasploit за страницами Guard. 4 мин.13.1 МБ
NinjaGuard - Реализация. 7 мин.31,8 МБ
MapBlinker. 4 мин.15.4 МБ
HWBlinker - детище Ninjasploit+MapBlinker+HWBP. 10 мин.41,5 МБ
Пользовательский "RPC"
RtlRemoteCall - Введение. 4 мин.9,81 МБ
RtlRemoteCall - Демо. 7 мин.32,7 МБ
ApiReeKall — вызов любого API в удаленном процессе. 18 мин.81,4 МБ
Общий формат объектного файла
CaFeBiBa - анализатор объектов COFF. 21 мин.98,4 МБ
Мокошь — загрузчик объектов MSVC COFF. 23 мин.125 МБ
Создание пользовательских объектов COFF. 11 мин.45 МБ
Индивидуальный проект
Цели и дизайн. 2 мин.4,61 МБ
Делегирование OpenProcess() через ApiReeKall. 43 мин.206 МБ
Совместимый с Mokosh COFF. 16 мин.100 МБ
Краткое содержание
Заключительные слова. 2 мин.4,05 МБ
Введение в курс. 3 мин.7.08 МБ
Настройка виртуальной машины для разработки. 3 мин.10,9 МБ
RTO-MalDev3.ova
MDA.zip. 1,93 МБ
Углы файловой системы
Затягивание времени. 9 мин.34,7 МБ
Альтернативные потоки данных - Введение. 4 мин.13,6 МБ
Альтернативные потоки данных — реализация. 7 мин.25.1 МБ
Реестровые кусты - Введение. 3 мин.10,9 МБ
Реестр кустов - Реализация. 5 мин.20,9 МБ
EA - Введение. 7 мин.20,3 МБ
EAs - Реализация. 14 мин.55,8 МБ
Перечисление объектов в памяти
Процессы - классический метод. 4 мин.15,6 МБ
Процессы - альтернативы Win API. 6 мин.26.2 МБ
Процессы - альтернативы собственным API. 7 мин.28,7 МБ
Модули - классический метод и альтернативы. 10 мин.46.3 МБ
Дескрипторы (токены, процессы, потоки и т. д.). 22 мин.178 МБ
Поиск .NET. 8 мин.34,2 МБ
Глобальные крючки
Монитор WMI - Введение. 6 мин.20,4 МБ
WMI Monitor - Реализация. 10 мин.37,5 МБ
SetWindowsHookEx — Введение. 6 мин.18.1 МБ
SetWindowsHookEx — реализация. 11 мин.39,5 МБ
Инфраструктура AppInit — Введение. 9 мин.51,2 МБ
Инфраструктура AppInit — Реализация. 6 мин.26.2 МБ
Технология руткитов Userland
Введение и демонстрация. 8 мин.35 МБ
Выполнение. 10 мин.44,2 МБ
Манипуляции с блоками среды процесса
Параметры. 10 мин.60,6 МБ
Списки модулей. 13 мин.74,3 МБ
Зацепление без патча
Страницы охраны - Введение. 8 мин.37,6 МБ
Страницы охраны - Реализация. 8 мин.34,8 МБ
Аппаратные точки останова - Введение. 9 мин.33,3 МБ
Аппаратные контрольные точки - Реализация. 9 мин.35,5 МБ
Скрытие памяти процесса
Горгулья и семья. 22 мин.86 МБ
Экко. 11 мин.46 МБ
NinjaGuard - Ninjasploit за страницами Guard. 4 мин.13.1 МБ
NinjaGuard - Реализация. 7 мин.31,8 МБ
MapBlinker. 4 мин.15.4 МБ
HWBlinker - детище Ninjasploit+MapBlinker+HWBP. 10 мин.41,5 МБ
Пользовательский "RPC"
RtlRemoteCall - Введение. 4 мин.9,81 МБ
RtlRemoteCall - Демо. 7 мин.32,7 МБ
ApiReeKall — вызов любого API в удаленном процессе. 18 мин.81,4 МБ
Общий формат объектного файла
CaFeBiBa - анализатор объектов COFF. 21 мин.98,4 МБ
Мокошь — загрузчик объектов MSVC COFF. 23 мин.125 МБ
Создание пользовательских объектов COFF. 11 мин.45 МБ
Индивидуальный проект
Цели и дизайн. 2 мин.4,61 МБ
Делегирование OpenProcess() через ApiReeKall. 43 мин.206 МБ
Совместимый с Mokosh COFF. 16 мин.100 МБ
Краткое содержание
Заключительные слова. 2 мин.4,05 МБ
- Скрыть полезные данные в углах NTFS и реестра
- Перечислить процессы, модули и дескрипторы с альтернативами
- Найдите идеальный процесс для инъекции
- Настройте глобальные хуки
- Использовать несколько пользовательских руткит-техник
- Обработчики исключений злоупотреблений
- Скрыть полезную нагрузку в памяти
- Вызов любого API (с любым количеством параметров) в удаленном процессе
- Создание пользовательских объектов COFF
- Полноценные видео, подробно объясняющие все техники
- Транскрипция с английскими субтитрами
- Текстовые дополнения с дополнительной информацией (фрагменты кода, определения структур, описание и контекст технологий и т. д.)
- Исходный код с шаблонами кода для быстрой разработки
- Образ виртуальной машины с готовой к использованию средой разработки
Все видео, тексты и материалы на английском языке.
Введение и настройка
Введение в курс. 3 мин.7.08 МБ
Настройка виртуальной машины для разработки. 3 мин.10,9 МБ
RTO-MalDev3.ova
MDA.zip. 1,93 МБ
Углы файловой системы
Затягивание времени. 9 мин.34,7 МБ
Альтернативные потоки данных - Введение. 4 мин.13,6 МБ
Альтернативные потоки данных — реализация. 7 мин.25.1 МБ
Реестровые кусты - Введение. 3 мин.10,9 МБ
Реестр кустов - Реализация. 5 мин.20,9 МБ
EA - Введение. 7 мин.20,3 МБ
EAs - Реализация. 14 мин.55,8 МБ
Перечисление объектов в памяти
Процессы - классический метод. 4 мин.15,6 МБ
Процессы - альтернативы Win API. 6 мин.26.2 МБ
Процессы - альтернативы собственным API. 7 мин.28,7 МБ
Модули - классический метод и альтернативы. 10 мин.46.3 МБ
Дескрипторы (токены, процессы, потоки и т. д.). 22 мин.178 МБ
Поиск .NET. 8 мин.34,2 МБ
Глобальные крючки
Монитор WMI - Введение. 6 мин.20,4 МБ
WMI Monitor - Реализация. 10 мин.37,5 МБ
SetWindowsHookEx — Введение. 6 мин.18.1 МБ
SetWindowsHookEx — реализация. 11 мин.39,5 МБ
Инфраструктура AppInit — Введение. 9 мин.51,2 МБ
Инфраструктура AppInit — Реализация. 6 мин.26.2 МБ
Технология руткитов Userland
Введение и демонстрация. 8 мин.35 МБ
Выполнение. 10 мин.44,2 МБ
Манипуляции с блоками среды процесса
Параметры. 10 мин.60,6 МБ
Списки модулей. 13 мин.74,3 МБ
Зацепление без патча
Страницы охраны - Введение. 8 мин.37,6 МБ
Страницы охраны - Реализация. 8 мин.34,8 МБ
Аппаратные точки останова - Введение. 9 мин.33,3 МБ
Аппаратные контрольные точки - Реализация. 9 мин.35,5 МБ
Скрытие памяти процесса
Горгулья и семья. 22 мин.86 МБ
Экко. 11 мин.46 МБ
NinjaGuard - Ninjasploit за страницами Guard. 4 мин.13.1 МБ
NinjaGuard - Реализация. 7 мин.31,8 МБ
MapBlinker. 4 мин.15.4 МБ
HWBlinker - детище Ninjasploit+MapBlinker+HWBP. 10 мин.41,5 МБ
Пользовательский "RPC"
RtlRemoteCall - Введение. 4 мин.9,81 МБ
RtlRemoteCall - Демо. 7 мин.32,7 МБ
ApiReeKall — вызов любого API в удаленном процессе. 18 мин.81,4 МБ
Общий формат объектного файла
CaFeBiBa - анализатор объектов COFF. 21 мин.98,4 МБ
Мокошь — загрузчик объектов MSVC COFF. 23 мин.125 МБ
Создание пользовательских объектов COFF. 11 мин.45 МБ
Индивидуальный проект
Цели и дизайн. 2 мин.4,61 МБ
Делегирование OpenProcess() через ApiReeKall. 43 мин.206 МБ
Совместимый с Mokosh COFF. 16 мин.100 МБ
Краткое содержание
Заключительные слова. 2 мин.4,05 МБ
Введение в курс. 3 мин.7.08 МБ
Настройка виртуальной машины для разработки. 3 мин.10,9 МБ
RTO-MalDev3.ova
MDA.zip. 1,93 МБ
Углы файловой системы
Затягивание времени. 9 мин.34,7 МБ
Альтернативные потоки данных - Введение. 4 мин.13,6 МБ
Альтернативные потоки данных — реализация. 7 мин.25.1 МБ
Реестровые кусты - Введение. 3 мин.10,9 МБ
Реестр кустов - Реализация. 5 мин.20,9 МБ
EA - Введение. 7 мин.20,3 МБ
EAs - Реализация. 14 мин.55,8 МБ
Перечисление объектов в памяти
Процессы - классический метод. 4 мин.15,6 МБ
Процессы - альтернативы Win API. 6 мин.26.2 МБ
Процессы - альтернативы собственным API. 7 мин.28,7 МБ
Модули - классический метод и альтернативы. 10 мин.46.3 МБ
Дескрипторы (токены, процессы, потоки и т. д.). 22 мин.178 МБ
Поиск .NET. 8 мин.34,2 МБ
Глобальные крючки
Монитор WMI - Введение. 6 мин.20,4 МБ
WMI Monitor - Реализация. 10 мин.37,5 МБ
SetWindowsHookEx — Введение. 6 мин.18.1 МБ
SetWindowsHookEx — реализация. 11 мин.39,5 МБ
Инфраструктура AppInit — Введение. 9 мин.51,2 МБ
Инфраструктура AppInit — Реализация. 6 мин.26.2 МБ
Технология руткитов Userland
Введение и демонстрация. 8 мин.35 МБ
Выполнение. 10 мин.44,2 МБ
Манипуляции с блоками среды процесса
Параметры. 10 мин.60,6 МБ
Списки модулей. 13 мин.74,3 МБ
Зацепление без патча
Страницы охраны - Введение. 8 мин.37,6 МБ
Страницы охраны - Реализация. 8 мин.34,8 МБ
Аппаратные точки останова - Введение. 9 мин.33,3 МБ
Аппаратные контрольные точки - Реализация. 9 мин.35,5 МБ
Скрытие памяти процесса
Горгулья и семья. 22 мин.86 МБ
Экко. 11 мин.46 МБ
NinjaGuard - Ninjasploit за страницами Guard. 4 мин.13.1 МБ
NinjaGuard - Реализация. 7 мин.31,8 МБ
MapBlinker. 4 мин.15.4 МБ
HWBlinker - детище Ninjasploit+MapBlinker+HWBP. 10 мин.41,5 МБ
Пользовательский "RPC"
RtlRemoteCall - Введение. 4 мин.9,81 МБ
RtlRemoteCall - Демо. 7 мин.32,7 МБ
ApiReeKall — вызов любого API в удаленном процессе. 18 мин.81,4 МБ
Общий формат объектного файла
CaFeBiBa - анализатор объектов COFF. 21 мин.98,4 МБ
Мокошь — загрузчик объектов MSVC COFF. 23 мин.125 МБ
Создание пользовательских объектов COFF. 11 мин.45 МБ
Индивидуальный проект
Цели и дизайн. 2 мин.4,61 МБ
Делегирование OpenProcess() через ApiReeKall. 43 мин.206 МБ
Совместимый с Mokosh COFF. 16 мин.100 МБ
Краткое содержание
Заключительные слова. 2 мин.4,05 МБ
https://institute.sektor7.net/rto-maldev-adv1