[資安補帖] 007─Day7─淺談逆向課程 &資安人才培育計畫(AIS3、台灣好厲駭)介紹
飛飛 | 2023-05-21前言
介紹一下教育部資安人才計畫,提供學生一點學習資安的機會。
現在有很多學習資安的管道,參加講座也是很好的選擇。
多參加社群活動,可以認識很多很厲害的人。
自我學習,可以增進自己能力。
今天透過 Review 他人的投影片,並針對其中的議題做探討。
社團經驗談
大概是學長曾經問過我為什麼會把想社團往外推廣,這樣沒有意義/用處
那時候的想法,大概是想要推廣社團,希望社團可以被大家看到。
也因為推廣了社團,認識了很多人,了解自己的不足,持續繼續追求成長。
正文
Become A Security Master ~ 陳仲寬
今天來Review Become A Security Master,這份投影片,來自交大,比賽與教學經歷豐富的陳仲寬,所分享的簡報。
- 資安特殊的發展特點
- 快速演進性
- 資訊安全具備快速演進的性質,有句話這麼說:「資訊安全沒有絕對的安全」
- 因為科技一直進步,所以資安的問題會一直被研究學者提出來
- 經過改進之後,會成為新的產品,並且不斷的演進
- 系統高度相關
- 沒有網站、伺服器、網路,就沒有安全可談
- 學習資安的基礎,可以從了解系統開始
- 針對系統:Linux、Windows、MacOS等...
- 木桶理論
~ 找出薄弱環節(短板),改進該環節。 -木桶原理- MBA智库百科- 針對系統安全性做全面系的分析,才能找到安全層級最弱的一環。
- 破壞性思維
- 探討思維方式的不同:攻擊者攻擊與程式設計師撰寫,是兩個不同的面相
- 我認為要了解攻擊者與程式設計師的思路,多方探討,才能知道資安的弱點
- 快速演進性
- 學習面向
- 我認為他提出系統化學習、深入學習、實作技術練習,三大學習面向
非常的好- 系統化學習
- 課程
- 在學校中學習,比較像是在一門學問中走馬看花
- 讀書
- 製作筆記,了解其中的意義,可以增進對學科的見解
- 課程
- 深入學習
- 新聞、技術文章
- 了解最新的研究發展
- 論文
- 更深入探討研究
- 新聞、技術文章
- 實作技術練習
- 練習
- 不管是習題、還是撰寫程式甚至練習CTF
- 都可以體會學科
- 競賽
- 提升程度,知道自己有哪些學問不懂
- 練習
- 系統化學習
- 接下來介紹交大關於資安的課程
- 基礎課程
- C語言
- 組合語言
- 作業系統
- 網路
- 網頁應用程式
- 系統分析
- 網路分析
- 其他
- 密碼學範疇
- 密碼理論
- 橢圓曲線密碼學
- 資訊隱藏學
- 資訊安全範疇
- 程式安全
- 電腦安全概論
- 網路安全@謝續平教授
- 電腦安全實務@謝續平教授
- 網路安全實務─攻擊與防禦@吳育松教授
- 軟體測試@黃世昆教授
- 軟體除錯@黃世昆教授
- 密碼學範疇
- 基礎課程
- 這裡我也來說說逢甲跟資安相關的課程
- 密碼學
- 電子商務安全
- 資訊與網路安全
- 安全程式設計
- 課程以CTF為主,適合有興趣的同學修課。
- 資訊安全管理
- 線上課程
- Malicious Software and its Underground Economy: Two Sides to Every Story
Learn about traditional and mobile malware, the security threats they represent, state-of-the-art analysis and detection techniques, and the underground ecosystem that drives such a profitable but illegal business.
- 線上課程,可以了解惡意軟體的分析與攻擊手法。
- 不過筆者目前註冊,無法查看該課程內容。
- Modern Binary Exploitation
- 美國學生資安社群RPISEC 開設
- 漏洞分析學習網站
- 可針對各種exploit
- 內涵課程的投影片
- 名詞檢視
- Machine
- 電腦、伺服器與任何實際的CPU
- Binary
- 可執行的文件
- EXE, ELF,MachO 或其他可以在Machine執行的文件
- 其他別名: program, application, service (sometimes)
- Malware
- Vulnerability
- Exploit
- 0day
- Pwn/Pwning
- 基礎知識
- Linux
- C語言
- X86 組合語言
- 何謂逆向工程
- 逆向工具
- 利用IDA分析
- 使用gdb和edb靜態分析
- 談記憶體損壞
- 撰寫 shellcode
- 談Format Strings
- 如何利用此bug
- Data Execution Prevention
- 數據執行保護
- 了解DEP
- 談遊戲機的漏洞
- ASLR漏洞
- 暴力破解、繞過手法
- 基於Heap的記憶體損毀
- 整數、小數點
- C++範疇
- 系統核心的漏洞
- Windows 64位元與x86差異
- 自動化攻擊
- Malicious Software and its Underground Economy: Two Sides to Every Story
- 我認為他提出系統化學習、深入學習、實作技術練習,三大學習面向
今天先review到這裡,
接下來還有一些簡報當中還有一些書籍推薦,
想先去閱覽看看,
再來撰寫推薦或簡介這些書籍,感謝大家XD
教育部的資安人才培育計畫
今天想要介紹這個跟我資安生涯習習相關的教育部計畫,
我資安生涯第一個是社團,第二個是資安實習,第三個就是這個計畫。
預告:有空可以分享實習經驗XD
對這個計畫有興趣的話,可以看計畫簡介
這是計畫官網的介紹圖
![]()
我來說說我參加過這個計畫的那些活動好了,
-
AIS3 新型態資安暑期課程(Advanced Information Security Summer School)
- 今年是第四屆,也是我第三年參加,很榮幸在中區獲得第一名的佳績,希望自己再努力一點。
- 這是一個暑假的課程,會在北區/中區/南區同時開設一個禮拜的資安課程。
- 課程:物聯網、Web、Reverse Engineering、AI 等課程
- 開放給大專生、高中生參加,會開放旁聽席,不過位置很少,所以還是努力爭取正取名額。
- 參與這個計畫,必須先參加pre-exam,成績夠才有機會晉級,有資安基礎都很容易進去,別擔心。
- 腳踏實地就好,有心都進得去課程XD。
- 記得一定要先報名( pre-exam 前一個月就要報名了),才能參加 pre-exam 。
- 三年的講師不盡相同,不過都很優秀XD,如:身經百戰的戰隊講師、國外(來自韓國、日本、美國)的講師。
- 有興趣可以參考一下今年的講師名單
- 最後一天是 AIS3 Final CTF ,如果第一名就可以進入 HITCON Final CTF 種子隊。
-
台灣好厲駭
- 目前是第三屆
- 我參加過第二屆和第三屆
- 制度
- 導師制/資安實務導師(mentor)制度
- 有業界跟學術界的導師可以選擇
- 需面試
- 有業界跟學術界的導師可以選擇
- 高階資安實務培訓(Penetration Test、Malware Analysis、Docker-Harden Security、IOT Security、Fuzzing)
- 會有不定期的資安實務專題講座
- 高階CTF訓練課程(Advanced binary exploitation、Advanced Reverse Engineering、Advanced Web Hacking and exploitation、Memory Forensics、Network Forensics)
- 導師制/資安實務導師(mentor)制度
- 目前是第三屆
-
高中職生資安研習營
- 暑訓SummerCamp
- 資安實務攻防研習營Hacking Weekend
如果還是學生,對於資安有興趣的話,都可以去參加這些活動,對自己成長非常有益。
宣傳一下XD
2019/1/18 AIS EOF CTF
2019/1/19 資安初學者挑戰活動MyFirstCTF