Rétro-Ingénierie de Logiciels Malveillants (RILM)
Créez votre laboratoire d’analyse de malwares et comprenez leurs fonctionnements (via leurs codes).
Actualisé: 02/01/2023
À propos du cours: Rétro-Ingénierie de Logiciels Malveillants (RILM)
Cette formation prépare à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.
Accessibilités aux personnes handicapées : La Loi du 5 septembre 2018 pour la « liberté de choisir son avenir professionnel » a pour objectif de faciliter l’accès à l’emploi des personnes en situation de handicap. Sysdream tente de donner à tous les mêmes chances d’accéder ou de maintenir l’emploi. Nous pouvons adapter certaines de nos modalités de formation, pour cela n’hésitez pas à nous solliciter pour étudier ensemble vos besoins. Merci de prendre contact avec Mélissa Mendes Da Silva (m.mendes@sysdream.com).
Objectifs
- Mettre en place un laboratoire d’analyse de logiciels malveillants
- Savoir étudier le comportement de logiciels malveillants
- Analyser et comprendre le fonctionnement de logiciels malveillants
- Détecter et contourner les techniques d’autoprotection
- Analyser des documents malveillants
- Code: RILM
- Durée: 5 jours (35H)
- Prix: consulter les prochaines dates ci-dessous
- Horaire: 9h30 - 17h30
- Lieu: 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret, France
Besoin de plus d'informations ?
Prochaines dates:
| Date de début | Lieu de formation | Prix | |
|---|---|---|---|
| 19/06/2023 | 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret | 3610€ HT | |
| 23/10/2023 | 14 place Marie-Jeanne Bassot, 92300 Levallois-Perret | 3610€ HT |
Public visé
- Techniciens réponse aux incidents
- Analystes techniques
- Experts sécurité
Pré-requis
- Avoir des connaissances du système Microsoft Windows
- Maîtriser le langage assembleur 32 et 64 bits
- Avoir des connaissances en architectures 32 et 64 bits Intel
Ressources
- Support de cours
- 70% d'exercices pratiques
- 1 PC par personne / Internet
Programme
- Méthodes mobilisées : Cette formation est construite avec une alternance de cours théoriques et de cas pratiques afin de favoriser l’acquisition des savoirs du programme (cf. Ressources).
- Modalités d’évaluation : les objectifs sont régulièrement évalués tout au long de la formation (50% d'exercices pratiques) et formalisés sous forme de grille d’évaluation des compétences en fin de module par le formateur.
-
Jour 1
- Rappels sur les bonnes pratiques
d’investigation numérique - Présentation des différentes familles de
malwares - Vecteurs d’infection
- Mécanisme de persistance
et de propagation - Laboratoire virtuel vs. physique
• Avantages de la virtualisation
• Solutions de virtualisation - Surveillance de l’activité d’une machine
• Réseau
• Système de fichiers
• Registre
• Service - Ségrégation des réseaux
• Réseaux virtuels et réseaux partagés
• Confinement des machines virtuelles
• Précautions et bonnes pratiques - Variété des systèmes
- Services usuels
• Partage de fichiers
• Services IRC (C&C) - Licensing
• Importance des licences
- Rappels sur les bonnes pratiques
-
Jour 2 :
- Mise en place d’un écosystème
d’analyse comportementale
• Configuration de l’écosystème
• Définition des configurations types
• Virtualisation des machines invitées
• VmWare ESXi
• Virtualbox Server - Installation de Cuckoo/Virtualbox
- Mise en pratique
• Soumission d’un malware
• Déroulement de l’analyse
• Analyse des résultats et mise en forme - Amélioration via API
• Possibilités de développement et
améliorations
- Mise en place d’un écosystème
-
Jour 3 :
- Analyse statique de logiciels malveillants :
• Prérequis
• Assembleur
• Architecture
• Mécanismes anti-analyse
• Outils d’investigation
• IDA Pro
• Utilisation d’IDA Pro
• Méthodologie
• Analyse statique de code
• Analyse de flux d’exécution
• Mécanismes d’anti-analyse
• Packing/protection (chiffrement de code/imports, anti-désassemblage)
• Machine virtuelle
• Chiffrement de données
• Travaux pratiques
• Analyse statique de différents malwares
- Analyse statique de logiciels malveillants :
-
Jour 4 :
- Analyse dynamique de logiciels malveillants :
• Précautions
• Intervention en machine virtuelle
• Configuration réseau
• Outils d’analyse
• OllyDbg
• ImmunityDebugger
• Zim
• Analyse sous débogueur
• Step into/Step over
• Points d’arrêts logiciels et matériels
• Fonctions systèmes à surveiller
• Génération pseudo-aléatoire de noms de domaines (C&C)
• Bonnes pratiques d’analyse
• Mécanismes d’anti-analyse
• Détection de débogueur
• Détection d’outils de rétro-ingénierie
• Exploitation de failles système
- Analyse dynamique de logiciels malveillants :
-
Jour 5 :
- Analyse de documents malveillants
• Fichiers PDF
• Introduction au format PDF
• Spécificités
• Intégration de JavaScript et possibilités
• Exemples de PDF malveillants
• Outils d’analyse : Origami, éditeur hexadécimal
• Extraction de la charge
• Analyse de la charge
• Fichiers Office (DOC)
• Introduction au format DOC/DOCX
• Spécificités
• Macros
• Objets Linking and Embedding (OLE)
• Outils d’analyse : Oledump, éditeur hexadécimal
• Extraction de code malveillant
• Analyse de la charge
• Fichiers HTML malveillants
• Introduction au format HTML
• Code JavaScript intégré
• Identification de code JavaScript malveillant
• Outils d’analyse : éditeur de texte
• Désobfuscation de code
• Analyse de la charge
- Analyse de documents malveillants
Formations associées
Analyse inforensique avancée et réponse aux incidents (AIARI)
Préparez-vous à l'analyse post-incident
Découvrir la formation
Computer Hacking Forensic Investigator v10 (CHFI v10) - Certifiante
La certification de l’investigation numérique - « Accredited Training Center » by EC-Council
Découvrir la formation
Malwares : détection, identification et éradication v2 ( MDIE v2)
Apprenez à connaître les malwares, leurs grandes familles, à les identifier et les éradiquer !
Découvrir la formation