Actualisé: 19/07/2022

À propos du cours: Rétro-Ingénierie de Logiciels Malveillants (RILM)

Cette formation prépare à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

Accessibilités aux personnes handicapées : La Loi du 5 septembre 2018 pour la « liberté de choisir son avenir professionnel » a pour objectif de faciliter l’accès à l’emploi des personnes en situation de handicap. Sysdream tente de donner à tous les mêmes chances d’accéder ou de maintenir l’emploi. Nous pouvons adapter certaines de nos modalités de formation, pour cela n’hésitez pas à nous solliciter pour étudier ensemble vos besoins. Pour cela merci prendre contact avec Mélissa Mendes Da Silva (m.mendes@sysdream.com).

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants

Besoin de plus d'informations ?

Public visé

  • Techniciens réponse aux incidents
  • Analystes techniques
  • Experts sécurité

Pré-requis

  • Connaissance du système Microsoft Windows
  • Maîtrise du langage assembleur 32 et 64 bits
  • Maîtrise de l’architecture 32 et 64 bits Intel

Ressources

  • Support de cours
  • 70% d'exercices pratiques
  • 1 PC par personne / Internet

Programme

  • Méthodes mobilisées : Cette formation est construite avec une alternance de cours théoriques et de cas pratiques afin de favoriser l’acquisition des savoirs du programme (cf. Ressources).
  • Modalités d’évaluation : les objectifs sont régulièrement évalués tout au long de la formation (50% d'exercices pratiques) et formalisés sous forme de grille d’évaluation des compétences en fin de module par le formateur.
  • Jour 1
    • Rappels sur les bonnes pratiques d’investigation numérique
      Présentation des différentes familles de malwares
      Vecteurs d’infection
      Mécanisme de persistance et de propagation
      Laboratoire virtuel vs. physique
    • Surveillance de l’activité d’une machine : Réseau, système de fichiers, registre, service
    • Ségrégation des réseaux : Réseaux virtuels et réseaux partagés, confinement des machines virtuelles, précautions et bonnes pratiques
    • Variété des systèmes
      Services usuels : Partage de fichiers et services IRC (C&C)
    • Licensing :
      Importance des licences
  • Jour 2 : Mise en place d’un écosystème d’analyse comportementale
    • Configuration de l’écosystème
    • Définition des configurations types
    • Virtualisation des machines invitées : VmWare ESXi, Virtualbox Server
    • Installation de Cuckoo/Virtualbox
      Mise en pratique : Soumission d’un malware,
  • Analyse statistique de logiciels malveillants
    • Prérequis
      • Assembleur
      • Architecture
      • Mécanismes anti-analyse
    • Outils d’investigation
      • IDA Pro
    • • Utilisation d’IDA Pro
      • Méthodologie
      • Analyse statique de code
      • Analyse de flux d’exécution
    • Mécanismes d’anti-analyse
      • Packing/protection (chiffrement de code/imports, anti désassemblage)
      • Machine virtuelle
      • Chiffrement de données
    • Travaux pratiques
      • Analyse statique de différents malwares
  • Analyse dynamique de logiciels malveillants
    • Précautions
      • Intervention en machine virtuelle
      • Configuration réseau
    • Outils d’analyse
      • OllyDbg
      • ImmunityDebugger
      • Zim
    • Analyse sous débogueur
      • Step into/Step over
      • Points d’arrêts logiciels et matériels
      • Fonctions systèmes à surveiller
      • Génération pseudo-aléatoire de noms de domaines
      • Bonnes pratiques d’analyse
    • Mécanismes d’anti-analyse
      • Détection de débogueur
      • Détection d’outils de rétro-ingénierie
      • Exploitation de failles système
  • Analyse de documents malveillants
    • Fichiers PDFs
      • Introduction au format PDF
      • Spécificités
      • Intégration de JavaScript et possibilités
      • Exemples de PDFs malveillants
      • Outils d’analyse: Origami, Editeur hexadécimal
      • Extraction de charge
      • Analyse de charge
    • Fichiers Office (DOC)
      • Introduction au format DOC/DOCX
      • Spécificités
      • Macros
      • Objets Linking and Embedding (OLE)
      • Outils d’analyse: Oledump,
      • Editeur hexadécimal
      • Extraction de code malveillant
      • Analyse de la charge
    • Fichiers HTML malveillants
      • Introduction au format HTML
      • Code JavaScript intégré
      • Identification de code JavaScript malveillant
      • Outils d’analyse: éditeur de texte
      • Désobfuscation de code
      • Analyse de charge

Formations associées

Analyse inforensique avancée et réponse aux incidents (AIARI)
Analyse inforensique avancée et réponse aux incidents (AIARI)


Préparez-vous à l'analyse post-incident

Découvrir la formation
Computer Hacking Forensic Investigator v10  (CHFI v10) - Certifiante
Certification
Computer Hacking Forensic Investigator v10 (CHFI v10) - Certifiante


La certification de l’investigation numérique - « Accredited Training Center » by EC-Council

Découvrir la formation
Malwares : détection, identification et éradication v2 ( MDIE v2)
Malwares : détection, identification et éradication v2 ( MDIE v2)


Apprenez à connaître les malwares, leurs grandes familles, à les identifier et les éradiquer !

Découvrir la formation