[004] 資安講座心得

0.前言

週四下午，參加了Hitcon girls社群的資訊安全分享，在此之前，自己對於資安的領域幾乎沒什麼涉略，假使硬要我想一個資安相關的議題，

可能就是想到駭客、電腦病毒、甚至最近流行的勒索軟體，此外，對於要進入資安領域學習有哪些入門、哪些框架是一概不知，所幸，

今日的講座提供了兩大點，讓我對資安有整個宏觀的初步架構，也能聽到講者在debug時的心路歷程，這些寶貴的分享，是非常珍貴的經驗，

也是資安學習的重大要領。

以下是整理兩大點，分別是

-資安學習的地圖

-資安學習六大框架

1.資安學習地圖

此地圖中，提出了八個方向，分別是資訊收集、網路安全、網站與網頁應用程式安全、系統安全、加密與解密、惡意程式檢測、逆向工程、數位鑑識、行動裝置，

而此場分享中，聚焦在三點：惡意程式檢測、逆向工程、加密與解密，且在後面提出具體的Demo與經驗分享。

2.資安學習六大框架

2-1)什麼是惡意程式？

惡意程式是指一個會破壞電腦正常運作或竊取資料的電腦程式，前者如電腦病毒（Virsus）、蠕蟲（Worm），後者如間碟軟體（Spyware）、木馬程式（Trojan Horses）等

從定義出發之後，進一步講者提到了，惡意程式入門，有四點：Register Key、Process Key、Network、File system，

最有印象是Register Key的部分，這樣的惡意程式不受開關機的影響。

2-2)要用什麼環境來分析？

在分析惡意程式時，不能本在本機電腦端直接執行，因為這麼做容易造成整台電腦中毒的風險，因此要換個分析環境來分析，舉例來說：像是VM Wave or VirtualBox。

2-3)要分析什麼行為？

如同2-1點提到了，像是影響Register Key的部分，偵查是否有啟動項，以及是否影響process的運作，甚至是影響其他檔案的開啟，以上總總都有可能。

2-4)我們要什麼工具分析？

講著了推薦了好幾款，這裡做三項的整理，分別是Online SanBox、TCP View、Autoruns，去查了一些以下的介紹，

Autoruns for Windows小工具除了可以檢視、管理開機時自動執行的程式與系統服務之外，還可管理「Explorer」檔案總管附掛元件、IE瀏覽器外掛、系統排程、桌面Gadgets...等等項目，更可詳細檢查、管理開機自動載入的硬體驅動程式與多媒體解碼器（Codecs）及Print Monitors…等等項目，如果你想更完整的控制Windows電腦的啟動方式，Autoruns是個很方便的小工具。

2-5)Demo!實作

在Demo實作時，看到了講者開了VM Wave的軟體，且在Window下環境操作，接著拿了一包exe類型的file，然後丟進Autoruns裡去執行，看看裡面的有哪些異常，其中，也提到了Snapshot的功能，還原到上次乾淨的狀態，其中印象最深刻的是，講者在開其中一包檔案時，桌面上其他檔案都變成了亂碼，這樣呈現方式，挺讓人印象深刻的！

2-6)分析只能用一種方法嗎？

在這章節，講者提到了逆向工程的概念，分成動態分析、靜態分析類，接著更深入去提靜態分析的步驟。

第一、理解到很多惡意程式，是加了殼的程式，舉例來說像是：加密殼、壓縮殼

第二、從何看起：講者分享可從string裡先去查起，看到有異常的再深入地追究下去

第三、假使看不懂API，該如何：通常都是去google為主，而學會如何搜尋是非常重要的skill

第四、了解程式內容：通常會接觸了一些組合語言，因此講者也十分建議我們，要把計算機組織、系統程式的基礎打穩，增加學習的效率

3.總結

三小時的分享下來，覺得這次計網中心的活動很用心，不僅講座深入淺出、也分享過去的學習經驗，同時把工具、環境都很詳盡地告訴我們，甚至也在演講時演練一次給我們看，

這些的功夫，讓我從零的進度，變得有一個較完整的框架，這對於十分有幫助，假使之後往安全領域發展時，這個學習框架的使用，對我來說是非常有用的，最後，

再次感謝計網中心與Hitcon Girls帶來的精采分享，讓這個週四下午，得到了充滿知性、深度、與有趣的資安分享！