【高度マルウェア解析コース】Zero2Automated 合格体験記
はじめに
本記事は、@0verfl0w氏達が提供する高度マルウェア解析コース「Zero2Automated」に合格した際の体験記です。
受けようと思ったきっかけ
自分は基本的にSOC業務に従事しており、たまにペンテスト、たまにマルウェア解析をやったりしています。
マルウェア解析といっても独学でやってきており、体系的にマルウェア解析を学んでみたいなという思いがありました。そして、本試験は実技も要求されるため、パソカタ好きには持ってこいの試験だと思いました。
また、安くなってた時期というのもありました。
Zero2Automatedとは
Zero2Automatedは、マルウェア解析の主に実践的なスキルを身につけるためのコースです。
静的解析が主な焦点ですが、動的解析から表層解析まで幅広くカバーしています。また、実際のマルウェアを解析して学ぶことができるため、業務に活きるスキルを身につけることができます。
Xにはマルウェア解析の王道な学習ルートに乗れるとの投稿も!
コースの種類
「Zero2Automated」と初心者向けコースが含まれる「Ultimate Malware RE Bundle」の2つのコースがあります。
自分は「Zero2Automated」を選択しました。
また、IDAのディスカウントもできるようです。
値段感
£149.99でした。
購入時期(2023年12月くらい)では2万3千円くらいでした。
コースの内容
IcedIDやQbotなどのマルウェアがよく使うテクニック、それらを解析するためのToolの使い方を、動画やドキュメントを通して学ぶことが出来ます。
詳しくは以下のリンクを参照してください。
コースの内容についてのTips
このコースの内容に追加で、自身が感じたことや知っておいた方がいいことなどを以下に記載します。
基本的に全て英語
基本的に全て英語です。動画は字幕があるものもありますが、たまに無いものもあります。
動画が長い
大体90分くらいの動画が多いです。学び方を考えておかないとダラダラやっちゃいます。
また、Chapter 0x04の内容の一部はChapter 0x05の内容が絡んでくるので順番もある程度工夫が必要かもしれません。
自分はPractical Analysisの「Custom Sample」は最後の腕試しとして残しておいて、模擬試験として活用しました。
解析環境は自身で用意
解析環境は自身で用意する必要があります。Windows7のISOイメージは提供されますが、自分は独学時から使っている環境で実施しました。
身代わりさんの以下のBlogが参考になります。
IDAなくても大丈夫
動画はIDAを使って解析していますが、IDAがなくても大丈夫です。
お好きなデコンパイラを使ってやってもいいと思います。ただ、そのデコンパイラの機能をある程度把握しておかないと自動化など辛い場面があるかもしれません。
自分は忍術使いなのでBinaryNinjaを使いつつ、Ghidraも利用しました。
(IDAは本コースの学習期間、試験において一切利用していません。)
結構難しい
結構難しいです。マルウェア解析完全初心者には辛い内容かと感じました。
DiscordにTipsがある
解析で詰まった際などはよくZero2Automated専用のDiscordチャンネルに投稿されている内容を読んだりしました。
Win10環境との差分
動画はWin7環境で解析していますが、Win10環境で解析しているとよく環境差分にぶつかります。
Windows APIの呼出しなどでぶつかることが多いのですが、kernelbase.dllを意識したり、ntdll.dllの呼出しを深く追う必要があります。その際は根性でx64dbgをポチポチするといいでしょう。
コスパ
コスパ最強です。自身が受けた中では一番だと感じました。
「このお値段でここまで学べるのか!?」という感じです。
ただ初心者向けな内容はなくあくまでAdvancedな内容かつ動画中心なので、そういった点でお値段が安いのかもしれません(Try Harder)。
いつでも試験を受けられる
期限などは特段ないので、好きな時に学習をして好きな時に試験を受けられます。
安くなったタイミングなどで買い、空いた時間に学習し、落ち着いたタイミングで試験を受けられるので良心的です。
Zero2Automated認定試験
認定試験には大きく2つのフェーズがあります。理論試験と実技試験です。
両方の試験で70点以上の点数を獲得する必要があります。
理論試験
2時間で50問の問題が出題されます。
選択問題と記述問題があります。
自分は英語の翻訳作業でだいぶ手こずりました。
結果発表は1-2週間くらいかかるとのことです(自分は1か月後に来ました)。
メールでお知らせされます。
実技試験
1つのマルウェアカスタムサンプルが配られます。
2週間でこのサンプルの解析とレポート提出が求められます。
レポートに特定のフォーマットは無いので、自身でそれなりのものを作成する必要があります。
自分はMarkdown形式で作成し、PDF化したものを提出しました。
自動化のためのコードも記載することになると思いますので、その点も加味して形式を選んでおくといいかもしれません。
またスクショを多用すると思いますので、解析時に都度スクショを取っておくことをお勧めします。
結果発表は2-3週間くらいかかるとのことです(自分は約2週間後に来ました)。
実技試験のやり取り(日程調整やレポート提出、結果発表)はメールで行われます。
学習について
Zero2Automatedのスケジュール
自分は以下のようなスケジュールで学習しました。購入後塩漬けしてしまい、OSCP合格後から学習に着手しました。
実技試験自体は2週間ぶっ続けで実施するので、お休みなどの落ち着いた時期に被せるといいでしょう(お休み期間は解析で溶けます)。
- 10月-12月:動画を視聴し、自身の環境で再現する学習
- ダラダラやってしまい、結構時間がかかりました
- 12月初旬: 理論試験を受験
- 12月: CyberDefendersなどのコンテンツで解析の練習
- 1月初旬: 理論試験の合格
- 1月: 野良Malwareの解析練習、Pwnで遊ぶ
- 2月中旬: 実技試験を受験
- 3月: 実技試験の合格
学習に役立つコンテンツ
Blog
色々なものがありますが、日本語記事に絞って紹介します。
mさんのBlog
本試験の内容、合格までの詳細なアプローチなどとても参考になります。
NFLabs社のBlog
こちらも体験記です。
切られたしっぽ
身代わりさんのBlogです。
MBSD社のBlog
mさんのblogでも紹介されてましたが、参考になる解析内容が多いです。
JPCERTのBlog
JPCERTのBlogです。
ピンクさんのGitHub
Blogじゃないですが、マルウェア解析において参考になる情報が多いです。
書籍
色々参考になった書籍はあるのですが、日本語書籍の一部を紹介します。
Ghidra実践ガイド
自身のバイブル本です。ハンズオンで解析の流れが学べます。
リバースエンジニアリングバイブル
Reversingを学ぶのにとても良い本です。
アナライジング・マルウェア
古いですが、Windows APIを焦点とした解析の参考になります。
サイバーセキュリティプログラミング 第2版
自動化を行う為、Pythonを使う際に参考になります。
CyberDefenders
マルウェア解析だけでなく、フォレンジックを中心としたBlue向けのチャレンジが提供されています。内容はCTF形式で、解析で得た情報(時刻やfile名など)をフラグとして提出していく形式です。
マルウェア解析のチャレンジについては本物のマルウェアを解析することができるので、実践的なスキルを身につけられます。
一部内容は以下のようにWriteupを公開しているので、参考になればと思います。
Maldev Academy
CやC++の知識、Malwareが利用するテクニックを学べると思います。こちらを学んだ後にZero2Automatedを受けるといいかもしれません。
CTF
CTFはマルウェア解析においても役立ちます。RevやForensicの分野は勿論ですが、Pwnも個人的には役立つと感じました。レジスタやメモリとのデバッガを通した向き合い方が学べると思います。
基本的にCTFのPwnはLinuxなのでWindowsマルウェアを解析する本試験では直接は役立ちませんが、RIPの制御を奪う脆弱性などを突くマルウェアもあるので、その点でPwnの感覚は役立ちます。
(あとデバッガポチポチ根性も...)
MalwareBazaar
独学時によく利用していました。実際のマルウェアサンプルが手に入るので、解析の練習には最適です。
JSAC 2025 - IDAとGhidraのプラグインを活用して学ぶ、マルウェアの耐解析機能解析入門
JSAC 2025のワークショップです。マルウェアのアンチデバッグに焦点を当てているワークショップでした。
アンチデバッグに対するx64dbgの使い方など、とても参考になるワークショップでした。
最後に
Zero2Automatedの合格体験記を記載しました。
本試験を通して格段にマルウェア解析能力が向上したと感じています(以前は解析できなかった検体を解析できるようになった)。
お値段に対してとても良い学習体験でした。
今後のZero2Automated受験者の方々に少しでも参考になれば幸いです。
Discussion