Actualisé: 02/01/2023

À propos du cours: Rétro-Ingénierie de Logiciels Malveillants (RILM)

Cette formation prépare à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

Accessibilités aux personnes handicapées : La Loi du 5 septembre 2018 pour la « liberté de choisir son avenir professionnel » a pour objectif de faciliter l’accès à l’emploi des personnes en situation de handicap. Sysdream tente de donner à tous les mêmes chances d’accéder ou de maintenir l’emploi. Nous pouvons adapter certaines de nos modalités de formation, pour cela n’hésitez pas à nous solliciter pour étudier ensemble vos besoins. Pour cela merci prendre contact avec Mélissa Mendes Da Silva (m.mendes@sysdream.com).

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants

Besoin de plus d'informations ?

Prochaines dates:

Date de début Lieu de formation Prix
13/03/2023 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret 3610€ HT
19/06/2023 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret 3610€ HT
28/08/2023 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret 3610€ HT
23/10/2023 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret 3610€ HT
11/12/2023 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret 3610€ HT

Public visé

  • Techniciens réponse aux incidents
  • Analystes techniques
  • Experts sécurité

Pré-requis

  • Avoir des connaissances du système Microsoft Windows
  • Maîtriser le langage assembleur 32 et 64 bits
  • Avoir des connaissances en architectures 32 et 64 bits Intel

Ressources

  • Support de cours
  • 70% d'exercices pratiques
  • 1 PC par personne / Internet

Programme

  • Méthodes mobilisées : Cette formation est construite avec une alternance de cours théoriques et de cas pratiques afin de favoriser l’acquisition des savoirs du programme (cf. Ressources).
  • Modalités d’évaluation : les objectifs sont régulièrement évalués tout au long de la formation (50% d'exercices pratiques) et formalisés sous forme de grille d’évaluation des compétences en fin de module par le formateur.
  • Jour 1
    • Rappels sur les bonnes pratiques
      d’investigation numérique
    • Présentation des différentes familles de
      malwares
    • Vecteurs d’infection
    • Mécanisme de persistance
      et de propagation
    • Laboratoire virtuel vs. physique
      • Avantages de la virtualisation
      • Solutions de virtualisation
    • Surveillance de l’activité d’une machine
      • Réseau
      • Système de fichiers
      • Registre
      • Service
    • Ségrégation des réseaux
      • Réseaux virtuels et réseaux partagés
      • Confinement des machines virtuelles
      • Précautions et bonnes pratiques
    • Variété des systèmes
    • Services usuels
      • Partage de fichiers
      • Services IRC (C&C)
    • Licensing
      • Importance des licences
  • Jour 2 :
    • Mise en place d’un écosystème
      d’analyse comportementale
      • Configuration de l’écosystème
      • Définition des configurations types
      • Virtualisation des machines invitées
      • VmWare ESXi
      • Virtualbox Server
    • Installation de Cuckoo/Virtualbox
    • Mise en pratique
      • Soumission d’un malware
      • Déroulement de l’analyse
      • Analyse des résultats et mise en forme
    • Amélioration via API
      • Possibilités de développement et
      améliorations
  • Jour 3 :
    • Analyse statique de logiciels malveillants :
      • Prérequis
      • Assembleur
      • Architecture
      • Mécanismes anti-analyse
      • Outils d’investigation
      • IDA Pro
      • Utilisation d’IDA Pro
      • Méthodologie
      • Analyse statique de code
      • Analyse de flux d’exécution
      • Mécanismes d’anti-analyse
      • Packing/protection (chiffrement de code/imports, anti-désassemblage)
      • Machine virtuelle
      • Chiffrement de données
      • Travaux pratiques
      • Analyse statique de différents malwares
  • Jour 4 :
    • Analyse dynamique de logiciels malveillants :
      • Précautions
      • Intervention en machine virtuelle
      • Configuration réseau
      • Outils d’analyse
      • OllyDbg
      • ImmunityDebugger
      • Zim
      • Analyse sous débogueur
      • Step into/Step over
      • Points d’arrêts logiciels et matériels
      • Fonctions systèmes à surveiller
      • Génération pseudo-aléatoire de noms de domaines (C&C)
      • Bonnes pratiques d’analyse
      • Mécanismes d’anti-analyse
      • Détection de débogueur
      • Détection d’outils de rétro-ingénierie
      • Exploitation de failles système
  • Jour 5 :
    • Analyse de documents malveillants
      • Fichiers PDF
      • Introduction au format PDF
      • Spécificités
      • Intégration de JavaScript et possibilités
      • Exemples de PDF malveillants
      • Outils d’analyse : Origami, éditeur hexadécimal
      • Extraction de la charge
      • Analyse de la charge
      • Fichiers Office (DOC)
      • Introduction au format DOC/
      DOCX
      • Spécificités
      • Macros
      • Objets Linking and Embedding (OLE)
      • Outils d’analyse : Oledump, éditeur hexadécimal
      • Extraction de code malveillant
      • Analyse de la charge
      • Fichiers HTML malveillants
      • Introduction au format HTML
      • Code JavaScript intégré
      • Identification de code JavaScript malveillant
      • Outils d’analyse : éditeur de texte
      • Désobfuscation de code
      • Analyse de la charge

Formations associées

Analyse inforensique avancée et réponse aux incidents (AIARI)
Analyse inforensique avancée et réponse aux incidents (AIARI)


Préparez-vous à l'analyse post-incident

Découvrir la formation
Computer Hacking Forensic Investigator v10  (CHFI v10) - Certifiante
Certification
Computer Hacking Forensic Investigator v10 (CHFI v10) - Certifiante


La certification de l’investigation numérique - « Accredited Training Center » by EC-Council

Découvrir la formation
Malwares : détection, identification et éradication v2 ( MDIE v2)
Malwares : détection, identification et éradication v2 ( MDIE v2)


Apprenez à connaître les malwares, leurs grandes familles, à les identifier et les éradiquer !

Découvrir la formation