Analyse de Malwares – Les fondamentaux

Réf. : DNDAESD06

Durée : 5 jours

Tarif : 2500 € HT

Formation en visioconférence

Objectifs :

Acquérir des connaissances généralistes sur le fonctionnement des malwares.

Découverte d’une méthodologie d’analyse statique et dynamique.

Création de charges encodées.

Jour 1 matin

Section 1 - Etat de l'art
Introduction
Historique
Vecteurs d'infection
Compromission
Impacts business
Défenses classiques

Jour 1 après-midi

Section 2 - Bases système
Séquence de boot
Dissection d’un processus
Dissection d’un exécutable
Gestion de la mémoire
Techniques communes
Obfuscation, packers, encoders (évasion)

Section 2 - Environnement
Infrastructure
Bonnes pratiques et création d’un lab

Jour 2 matin

Section 3 - Outils d’analyse
Présentation des outils d’analyse
TD1 / Découverte de la suite Sysinternals (Procmon, Procexp)
Analyse statique
Analyse dynamique
Introduction à la suite FLARE Mandiant
TD 2 / Analyse d’un PDF
TD 3 / Analyse Meterpreter / Unicorn / Macros
Sandbox
VirusTotal
Cuckoo
AnyRun
TD 4 / Analyse d’une charge dans une SandBox

Jour 2 après-midi

TP 1 /  Etude de cas - Analyse d’une attaque et rédaction d’un rapport
Signatures
YARA
Création de règles
Implémentation YARA
Plateformes d’échanges
TD 5 / Signer des malwares

Jour 3 Matin

Section 4 - Analyse de dumps mémoire
Acquisition
Volatility
Processus
DLLs
Ruches
Injections
Connections
TP 2 /  Analyse de dumps mémoire

Jour 3 Après-midi

Section 5 - Introduction à l’assembleur (ia-32)
Introduction
Registres
Flags
Instructions
La pile
TD 6 /  Premiers programmes
Hello World (Write)
Boucles
Execve (/bin/sh)

Jour 4 matin 

Section 6 - Shellcoding
Introduction à GDB
Commandes utiles
Shellcode méthode stack
Shellcode méthode Jmp-Call-Pop
Les encoders
Les stagers
       
Jour 4 après-midi

TP 3 /  Création d’un encodeur XOR

Jour 5 

Où trouver des shellcodes
Encoder des shellcodes existants (Metasploit)
TP 5 /  Reverse d’une charge

Public

Développeurs / Pentesters / administrateurs / Analystes.

Pré-requis

Connaissances généralistes en programmation et système / réseaux.

Méthodes pédagogiques

Alternance d'apports théoriques, d'exercices pratiques et d'études de cas.


Réf. : DNDAESD06

Durée : 5 jours

Tarif : 2500 € HT



Demande de devis

Date souhaitée :
*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants