Formation Rétroingénierie de logiciels malfaisants

Réf. : DN-33298
Durée : 5 Jours
Tarif : 3780,00  HT

Toutes nos formations sont disponibles en présentiel ou en distanciel.

Objectifs

A l’issue de la formation, vous serez capable de :

  • Qualifier la menace d’un logiciel malfaisant
  • Savoir mettre en place d’un laboratoire d’analyse des logiciels malfaisants et préparer l’outillage d’analyse
  • Analyser de manière statique et dynamique le comportement de logiciels malfaisants
  • Apprendre l’architecture x 86
  • Savoir identifier les structures logiques (boucles, branchement…)
  • Savoir identifier des motifs utilisés par les logiciels malfaisants en analysant le code
  •  Analyser la mémoire
  • Savoir contourner les techniques d’autoprotection

Contenu de la formation

La rétroingénierie des logiciels malveillants offre une approche pour examiner et saisir le mécanisme interne des programmes malintentionnés afin d’en atténuer les impacts. Elle sert à déceler les spécificités, les motivations et les sources des malwares, dans le but d’élaborer des tactiques de protection robustes et de prévoir les menaces imminentes.

1 Introduction aux bases de l’analyse de logiciels malveillants
  • Processus et méthodologie générique
  • Analyse statique :
  • Analyse des métadonnées
  • Analyse statique
  • Analyse dynamique
  • Comportemental
  • Débugger
  • Construire son laboratoire d’analyse
  • Simuler internet
  • Utilisation de la virtualisation
  • Contournement des mécanismes de protection anti-VM
  • Simulation d’architecture « exotique » (IOT)
  • Construction du laboratoire et boite à outils
  • Sandbox
2 Cas d’analyse
  • Introduction au langage assembleur
  • Guide de survie des instructions de bases
  • Instruction modifiant le flux d’exécution
  • Présentation des registres
  • Conventions d’appels
    • Spécificités des langages objets
  • IDA Pro:
  • Introduction
  • Prise en main de l’outil (création de scripts)
  • Chaine de compilation et binaires
  • Fuite d’informations possibles
  • Imports d’information dans IDA

Système d’exploitation

  • Introduction aux systèmes d’exploitation
  • Processus vs thread
  • Scheduler
  • Syscall
  • Différence processus vs thread
  • Format d’exécutable
  • Format PE
    • Présentation des informations
  • Structures internes
  • SEH
  • TEB
  • PEB
  • SSDT
    • Introduction au « kernel debugging »
3 : Mécanismes de protection (DRM ou packer)
  • Introduction aux outils de DRM/Protection de code
  • Comment les identifier ?
  • Quels sont les impacts ?
  • Introductions aux différentes techniques de protection :
  • Anti-désassemblage
  • Anti-debogage
  • Obscurcissement du CFG
  • Machine virtuelle
  • Évasion (détection de sandbox/Virtualisation)
  • Analyse de packer
  • Présentation de la méthode générique d’unpacking
  • Découverte de l’OEP
  • Reconstruction de la table d’imports

Miasm2 :

  • Unpacking automatique
4 : Malwares
  • Catégoriser les logiciels malveillants en fonction de leurs API
  • Keyloggers
  • Rootkits (userland et kerneland)
  • Sniffers
  • Ransomwares
  • Bots et C2
  • Injection de code
  • Technique de contournement de flux d’exécution (ie: detour)
  • Shellcode
  • Techniques et outils d’analyses
  • Miasm2
  • Unicorn Engine
5 : Autres types de malwares
  • Malware « Web » (JavaScript/VBScript)
  • Analyse statique et dynamique
  • Limitation des navigateurs
  • Malwares Flash
  • Applications mobiles Android
  • Documents malveillants
  • Suite Office
  • PDF
  • RTF
  • Malwares .Net
6 : Threat Intelligence
  • Création de signatures Yara
  • Communication et base de connaissances
  • MISP
  • Yeti
7 : Avantage de l’analyse mémoire
  • Etude de cas
8 : Evaluation
  • Via QCM
  • Examen de certification en option

Autres formations disponibles en  Analyse  Forensic 

Public

  • Membres d’un SOC ou d’un CSIRT,
  • Équipes de réponse aux incidents,
  • Toute personne souhaitant réaliser des analyses avancées des menaces,
  • Toute personne intéressée par l’analyse des logiciels malfaisants,
  • Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants, Analystes, Responsables sécurité.

Pré-requis

  • Connaître le système Windows,
  • Savoir programmer,
  • Avoir les bases en réseau, Connaître l’assembleur.

Méthodes pédagogiques

  • Cours magistral illustré par des travaux pratiques réguliers.
Réf. : DN-33298
Durée : 5 Jours
Tarif : 3780,00  HT
Partager cette formation
Facebook
Twitter
LinkedIn

Demande de devis

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants