サンドボックス開発から始める
セキュリティ関連のプロジェクトを探しています。このプロジェクトでは、貢献したり、何かを学んだりできます。私はこのようなものに慣れていないので、そのプロジェクトが初心者にとってそれほど複雑でなく、消化しやすいものである方が良いでしょう。私はGSoCでそのようなプロジェクトを探していて、「Cuckoobox」と呼ばれるオープンソースのサンドボックスプロジェクトを見つけました。
私はそのソースコードを手に入れようとしましたが、それは無駄な試みであることが判明しました。まず、Windows OS環境とAPI、およびそれらが感染しやすい理由、そのような攻撃のための一般的な方法とツールを知る必要があることに気付きましたDLLインジェクションとその解決策。そのようなプロジェクトに貢献できるようになるために必要なすべての基本を取得するために、いくつかの学習資料をポイントしてください。
もう1つ質問があります。 LinuxとWindowsのどちらのOSから始めますか? Windowsは、最も広く使用されているOSであり、最も広く感染している(Linuxと比較して)ものであるべきだと思います。
マイクロソフトには、セキュリティに関する恐ろしい実績があります。しかし、2011年の本当の問題は、オペレーティングシステム、そのWebアプリケーション、およびWebブラウザーではありません。 Damn Vulnerable Web App 、 OWASP WebGoat 、特に Google Gruyere のようなプロジェクトを探索する必要があります。すべてのビルド済みVMを見つけることができ、Googleがホストしているため、何もインストールする必要はありません。
ルートキットとそれらを介したWin32システムの悪用に関する素晴らしい本は、「ルートキットアーセナル:システムの暗いコーナーでのエスケープと回避」です。ルートキットとその背後にあるプロセスに関する非常に詳細な情報があります。ただし、本を十分に理解するために、Cの背景を強くお勧めします。
Googles Gruyere は、初心者の場合は間違いなく進むべき道です。
@ Rookが書いた のように、今日表示されるのはWebアプリです。概念について心配する必要はありません。Gruyereを下っていくと、特定のエクスプロイトに入る前に概念が説明されます。私たちが今ここで話しているように、私はグリュイエールと私の方法を学んでいます:)
動作分析を実行するために、必ずしもWindows内部から開始する必要はありません。あなたが最初に試すことができる他のより簡単で興味深いアプローチがあります。
wireshark などのツールを使用してネットワークアクティビティのトレースを開始し、そこから収集できる証拠を確認できます。
volatility または rekall のようなツールは、OSの原理を学習する必要なしに、メモリフォレンジックについて学び始めるのに適した方法です。
仮想マシンベースのサンドボックスでファイルシステムフォレンジックを実行する非常に簡単な方法は、2つのディスクスナップショットを異なる時間に取得し、それらを比較して何が変更されたかを確認することです。
問題に対処する方法は他にもあると言っているだけですが、初心者としては、最も簡単で面白い方法を最初に試すべきだと思います。
たとえば [〜#〜] see [〜#〜] チュートリアルは、多くのWindows/Linux内部を知る必要なくマルウェアを検査する方法を示しています。