Rétro-ingéniérie de logiciels malfaisants

FOR_1705-0013

Rétro-ingéniérie de logiciels malfaisants

Objectifs:

  • Qualifier la menace d'un logiciel malfaisant et en particulier :
  • Mise en place d'un laboratoire d'analyse des logiciels malfaisants
  • Préparation de l'outillage d'analyse
  • Analyse comportementale de logiciels malfaisants
  • Analyse sta que et dynamique de codes malfaisants
  • Introduction à l'architecture x86
  • Identification des structures logiques (boucles, branchement...)
  • Identification des motifs utilisés par les logiciels malfaisants en analysant le code
  • Analyse de la mémoire
  • Contournement de techniques d'auto-protection

Public:

  • Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants
  • Personnel d'équipes de réponse à incident souhaitant réaliser des analyses avancées des menaces rencontrées
  • Toute personne intéressée par l'analyse des logiciels malfaisants et ayant des connaissances en Windows et langage de bas niveau

Durée:

35 heures

Programme:

  1. Mise en place des Bases

  • Introduction à l'analyse de malware : processus et méthodologie

  • Technique d'analyse statique : revue de code, analyse des metadata

  • Technique d'analyse comportementale

  • Construction du laboratoire et boite à outils

  • Cas d'analyse

  • Introduction au langage assembleur : x86 et x64

  • Présentation des instructions de bases

  • Présentation des structures de contrôle

  • Introduction à IDA pro

  • Chaine de compilation et binaires

  • Exercices

  1. Mécanismes internes de Windows et techniques de débogage

  • Présentation de l'architecture interne du système d'exploitation Windows

  • Présentation du format PE et ses caractéristiques

  • Introduction des structures du noyau Windows (PEB, TEB, System Call table, etc)

  • Exercices traitant les techniques de débogage Windows

  • Cas d'analyse

  1. Malware et techniques de protection

  • Techniques d'obscurcissement de code et études de différents types de packer

  • Techniques anti-débogage

  • Techniques anti-désassemblage

  • Techniques d'obscurcissement du flux d'exécution

  • Techniques d'évasion (anti-virtualisation, furtivité)

  • Techniques d'un packing (automatisées et manuelles) et identification de l'OEP

  • Cas d'analyse

  • Présentations des fonctionnalités des malwares à travers les API windows

  • Rootkits : mode Utilisateur et noyau

  • Keyloggers

  • Sniffers

  • Ransomwares

  • Bots et C2

  • Techniques d'analyse de shellcode

  1. Autres formes de malwares

  • Techniques d'instrumentation de binaires (IDA Appcall, Miasm, Frida, etc)

  • Techniques d'analyse du contenu dynamique des malwares Web (Javascript/Vbscript)

  • Analyse des applications .NET

  • Analyse des fichiers PDF

  • Analyse des documents Office

  • Analyse de la mémoire comme outil d'aide à l'analyse des malwares

  1. L'analyse de malware, une brique de la réponse à incident

  • Analyse de malware dans le cadre d'une réponse à incident

  • Gestion des IOC : construction et publication

Challenge

  • Mise en pratique de toutes les connaissances et compétences acquises lors de la formation


Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumacademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcadémie – La nouvelle formation en ligne met la cybersécurité à la portée de tous


Pour aller plus loin

Ressources