从事恶意软件分析工作

Question

当我还是个孩子的时候，我想成为一名恶意软件分析师，并在一家杀毒公司工作。那时，我喜欢尝试不同的防病毒解决方案，并在高中做了一个关于计算机病毒/防病毒的研究项目。我想知道恶意软件是如何进入我的系统和恶意软件删除的。

今天，我又失业了，正在寻找新的职业，这个想法突然浮现在我的脑海中。作为一名恶意软件分析师，我突然有了追求童年梦想的冲动。我以前没有多少电脑编程工作经验(在一家游戏公司只有几个月)，我以前的工作是会计。(与计算机编程无关)。

我5年前获得了计算机科学学位，目前在大学里参加了一些软件质量保证/测试的兼职课程。(因为我也在考虑将职业生涯转到软件QA领域)

我还知道，为了在安全领域工作，你首先必须是该领域的专家。您认为作为软件QA/Tester作为恶意软件分析师职业生涯的良好起点吗？还是完全不相关？

如果有人能提供一些关于从事恶意软件分析职业的指导，我将不胜感激。

编辑

我听说过Security+、CISSP、CISA、CEH、SSCP等，但不知道哪一个与恶意软件分析有关。

谢谢

Answer 1

软件质量与测试和恶意软件分析之间肯定有很多关系。研究某物是如何工作的，测试它的操作边界，并深入研究它的功能范围，这两个基本原则都是共同的。尽管如此，它也将取决于您正在寻找的软件类型。

我知道有几个人离开了大学，进入了‘恶意软件’(也许没有那么具体。)但一般的计算机保护/分析)领域直接走出大学，所以这也是一种可能性。

如果你想要一段时间的话，看看那些提供信息保证或计算机取证学位的大学。(也许是硕士课程)。

Answer 2

您可能想看看Lenny关于SANS的优秀文章如何从恶意软件分析入手。它写于2010年，但仍然相关，today.It涵盖文章、书籍、论坛、博客和课程，可以成为一名恶意软件分析师。

正如在其他答案中提到的，您还需要从根本上精通x86、C/C++、程序集。

我建议一种像电子学习安全高级软件逆向工程这样的自定步调课程

稍后，当你有了更多的经验时，我推荐的其他课程是

(谷歌这些，我的声誉水平不允许我张贴超过2个链接在我的答案)

• InfoSec研究所逆向工程培训
• 恶意软件分析手册简介
• MANDIANT定制恶意软件分析
• MANDIANT中间恶意软件分析
• MANDIANT高级恶意软件分析
• InfoSec研究所高级逆向工程恶意软件

Answer 3

这个问题已经得到回答，但其他人可能从听取这方面的意见中受益。

我是一位为一家大公司做恶意软件事件反应的安全分析师。这些答案中的大多数似乎引导你走上反向工程的道路，新的威胁，开发签名或其他接种，但我要求你澄清你的问题，你可能更感兴趣的是我做什么。

在我的例子中，我从各种来源(AV警报、内部进程跟踪工具、第1层支持请求等)获得警报。并使用远程法医工具集从系统中收集工件，并结合利用网络和代理日志，确定系统是否已被破坏。目标是找到"IOC“(妥协的指示符)，例如执行的进程散列点亮VirusTotal.com，在由滴管安装的USN中查找自定义shim数据库，检测WMI持久性模块，以及持续运行。工作的一部分是跟上所有的新技术，并知道要注意什么，磨练你的工艺。

在这种情况下，您不需要任何编程技能(C/C++、ASM等)，也不一定需要许多/任何证书。这一工作领域的基础是：

• 了解系统；在中小型企业中获得第1层支持或系统/网络管理的经验。获得这份工作的要求比我在这里列出的要低得多，尤其是你的CS学位。
• 有一种好奇、偏执和分析的头脑
• 了解网络、安全原则和流行的免费或开源工具，如Nessus和Wireshark。没有必要像你说的那样“已经是专家了”.恶意软件分析的领域发展得太快了，你只需要适应自己，并且尽可能地跟上进度。

我可能是完全偏离基础，你宁愿拆解代码来开发签名，而在一家反病毒公司工作，但我希望这打开了你的眼睛的其他可能性，你有开放给你。