这里以Windows病毒分析师为例,讲解病毒分析师的职业发展路线和应该具有的专业能力。图中有的模块被分为红色和黄色,其中红色代表最重要,黄色代表相对重要。
病毒分析工程师,是在未来无法被人工智能取代、缺口非常大的高端网络安全人才,在未来将会成为很多大型公司必须的基础安全人才。和渗透测试人员、漏洞分析人员相比,病毒分析工程师更偏向对于Windows本地可执行文件的逆向分析。
1.病毒分析工程师可以做哪些方面的工作?
答:病毒分析工程师可以学习更深入的反调试、反虚拟、内存保护对抗等转型为专业的Windows逆向工程师,成为大型游戏公司的反外挂工程师。可以学习适当渗透测试方面的知识,并练就很强的解密能力,可以成为APT(高级可持续性威胁)的网络部队。可以学习漏洞的类型,精通各种平台的调试方法,shellcode执行方式,成为漏洞安全研究人员。
2.病毒分析工程师的工作内容是什么?
答:从容易与难易程度可以分为以下几种工作:
一、规则提取与样本管理、样本收集与测试
二、一般性脚本类型病毒分析、撰写报告
三、能逆向分析复杂的C++编写的病毒,并能解密简单的勒索软件,修复一些感染病毒感染的文件。对引擎的设计和项目中的方案能够起到一定支撑作用。
四、对winodws网络通信协议和底层内核驱动原理很熟悉,能够调试驱动级Rootkit;能够熟练抓取并分析协议包和流量,对网络通信编程有较为深入认识。(这里是指能力的横向扩展,能够分析不常出现的Rootkit和一些很依赖通信却不能复现的病毒)
五、具有很强的算法逆向能力,熟练的调试能力。能够快速解密各种语言实现的解压缩算法、编解码方式、常见对称加解密算法,逆向算法并还原破解算法。
六、能把握代码的风格,熟悉大型黑客组织的APT攻击手法和潜在联系,具有很强的溯源能力。
3.高级病毒分析工程师的能力是什么?
答:一名从业多年的病毒分析工程师应该能够迅速处理APT攻击事件。不但要具有强大的病毒攻击趋势感知能力,更要把握最新的威胁情报信息。对于APT攻击事件能够迅速定位家族和来源、分析攻击过程(对防御策略提出建议)、溯源攻击者、越快越好,越深入细致越好,能力则越强。如果攻击者植入后门、感染文件或者进行了强有力的加解密,则应尽快编写相应的程序修复计算机使恢复到正常状态。可见一名高级的病毒分析工程师需要付出很长时间来累积反病毒经验。它并不像一种单纯的编程语言能力开发技术,时间长了会被新的编译器新的语种语法淘汰。病毒分析工程师就是计算机世界的侦探,依据计算机的执行规则,从汇编语言层面跟进程序,鉴定各种语言实现的软件的行为操作,从最深处的内存取证,完成对高级病毒的鉴定与查杀。病毒分析工程师的逆向能力很强吗?并不是,笔者看来如果逆向的等级分为5级的话,那么病毒分析工程师的逆向能力只有3级,搞软件patch和游戏保护的那些人逆向能力在4级,搞CTF的逆向能力在5级。
4.为什么病毒分析工程师的岗位这么少?
答:国家网络安全时代已经到来,所有依赖网络业务的企业应当具备自己对病毒和漏洞应急响应并时刻观察威胁情报最新动态的人员,这样才能最快预防和解决网络攻击事件。病毒分析工程师,不应是一种小众职业,因为对于高级复杂的病毒从来不能只靠一个人来完成,因为他面对的可能是整个黑客团队的攻击工具甚至是有着国家背景的攻击团队,安全从业工作者应该齐心协力,才能有效防御高级黑客团队的攻击,确保企业和国家的繁荣稳定。
5.如何成为一名病毒分析工程师?
答:欢迎有兴趣的人加入我的学习交流QQ群366469549。么么哒。