Hack in Paris

Rétro-Ingénierie de Logiciels Malveillants (RILM)

Créez votre laboratoire d’analyse de malwares et comprenez leurs fonctionnements (via leurs codes).

Actualisé: 03/10/2023

À propos du cours: Rétro-Ingénierie de Logiciels Malveillants (RILM)

Cette formation prépare à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

Accessibilités aux personnes handicapées : La Loi du 5 septembre 2018 pour la « liberté de choisir son avenir professionnel » a pour objectif de faciliter l’accès à l’emploi des personnes en situation de handicap. Sysdream tente de donner à tous les mêmes chances d’accéder ou de maintenir l’emploi. C’est pourquoi nous vous invitons, en amont de votre session, à nous indiquer tout besoin spécifique vous permettant de suivre votre formation dans les meilleures conditions. Lors d’un entretien de recueil de vos attentes et besoins, nous étudierons ensemble la faisabilité de la réalisation de l’action de formation (formation@sysdream.com).

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants
Télécharger le programme

Besoin de plus d'informations ?

Contactez-nous

Public visé

  • Techniciens réponse aux incidents
  • Analystes SOC/CSIRT N3
  • Responsable laboratoire d’investigation
  • Experts sécurité

Pré-requis

  • Avoir des connaissances du système Microsoft Windows
  • Maîtriser le langage assembleur 32 et 64 bits
  • Avoir des connaissances en architectures 32 et 64 bits Intel

Ressources

  • Support de cours
  • 70% d'exercices pratiques
  • 1 PC par personne

Programme

  • Méthodes mobilisées : Cette formation est construite avec une alternance de cours théoriques et de cas pratiques afin de favoriser l’acquisition des savoirs du programme (cf. Ressources).
  • Modalités d’évaluation : les objectifs sont régulièrement évalués tout au long de la formation (70% d'exercices pratiques) et formalisés sous forme de grille d’évaluation des compétences complétée en fin de module par le formateur.
  • Jour 1
    • Rappels sur les bonnes pratiques d’investigation numérique
    • Présentation des différentes familles de
      malwares
    • Vecteurs d’infection
    • Mécanisme de persistance et de propagation
    • Laboratoire virtuel vs. physique
      • Avantages de la virtualisation
      • Solutions de virtualisation
    • Ségrégation des réseaux
      • Réseaux virtuels et réseaux partagés
      • Confinement des machines virtuelles
      • Précautions et bonnes pratiques
    • Surveillance de l’activité d’une machine
      • Réseau
      • Système de fichiers
      • Registre
      • Service
    • Initiation à l'analyse comportementale
    • Variété des systèmes
  • Jour 2
    • Mise en place d’un écosystème d’analyse comportementale
      • Configuration de l’écosystème
      • Définition des configurations types
      • Virtualisation des machines invitées :
      - VmWare
      - Virtualbox
    • Installation de CAPEV2/Virtualbox
    • Mise en pratique
      • Soumission d’un malware
      • Déroulement de l’analyse
      • Analyse des résultats et mise en forme
    • Amélioration via API
      • Possibilités de développement et améliorations
  • Jour 3
    • Analyse statique de logiciels malveillants

      • Prérequis
      - Assembleur
      - Architecture
      - Mécanismes an ti-analyse
      • Outils d’investigation
      - IDA
      • Utilisation d’IDA
      - Méthodologie
      - Analyse statique de code
      - Analyse de flux d’exécution
      • Mécanismes d ’anti-analyse
      - Packing/protection (chiffrement de code/imports,
      anti- désassemblage)
      - Machine virtuelle
      - Chiffrement de données
      • Travaux pratiques
      - Analyse statique de différents malwares
  • Jour 4
    • Analyse dynamique de logiciels malveillants

      • Précautions
      -Intervention en machine virtuelle
      - Configuration réseau
      • Outils d’analyse
      - OllyDbg
      - ImmunityDebugger
      • Analyse sous débogueur
      • Step into/Step over
      - Points d’arrêts logiciels et matériels
      - Fonctions systèmes à surveiller
      - Génération pseudo-aléatoire de noms de domaines
      (C&C)
      - Bonnes pratiques d’analyse
      • Mécanismes d’anti-analyse
      - Détection de débogueur
      - Détection d’outils de rétroingénierie
      - Exploitation de f ailles système
  • Jour 5
    • Analyse de documents malveillants

      • Fichiers PDF
      - Introduction au format PDF
      - Spécificités
      - Intégration de JavaScript et possibilités
      - Exemples de PDF malveillants
      - Outils d’analyse : OLE Tools, éditeur hexadécimal
      - Extraction de la charge
      - Analyse de la charge
      • Fichiers Office (DOC)
      - Introduction au format DOC/DOCX
      - Spécificités
      - Macros
      - Objets Linking and Embedding (OLE)
      - Outils d’analyse : OLE Tools, éditeur hexadécimal
      - Extraction de code malveillant
      - Analyse de la charge
      • Fichiers APK
      - Introduction au format apk
      - Outils d’analyse : jadx, Frida, genymotion, mobsf
      - Contournement de protection d’émulation
      - Compréhension du fonctionnement

Formations associées

Analyse inforensique avancée et réponse aux incidents (AIARI)
Analyse inforensique avancée et réponse aux incidents (AIARI)

Préparez-vous à l'analyse post-incident

Découvrir la formation
Certified SOC Analyst - Certifiante (CSA)
Certification
Certified SOC Analyst - Certifiante (CSA)

Découvrir la formation
Computer Hacking Forensic Investigator v11 (CHFI v11) - Certifiante
Certification
Computer Hacking Forensic Investigator v11 (CHFI v11) - Certifiante

La certification de l’investigation numérique by EC-Council

Découvrir la formation
EC-Council Certified Incident Handler v3 (ECIH) - Certifiante
Certification
EC-Council Certified Incident Handler v3 (ECIH) - Certifiante

Apprenez à gérer les incidents de sécurité - « Accredited Training Center » by EC-Council

Découvrir la formation
ISO 22361 : Certified Lead Crisis Manager (ISO 22361) - Certifiante
Certification
ISO 22361 : Certified Lead Crisis Manager (ISO 22361) - Certifiante

Maîtriser les connaissances et les compétences de gestion de crise

Découvrir la formation
LogPoint pour les Administrateurs (LP-A)
LogPoint pour les Administrateurs (LP-A)

Faites face aux défis de sécurité grâce à la solution LogPoint

Découvrir la formation
LogPoint pour les Utilisateurs (LP-U)
LogPoint pour les Utilisateurs (LP-U)

Faites face aux défis de sécurité grâce à la solution LogPoint

Découvrir la formation
Malwares : détection, identification et éradication (MDIE)
Malwares : détection, identification et éradication (MDIE)

Apprenez à connaître les malwares, leurs grandes familles, à les identifier et les éradiquer !

Découvrir la formation
Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)

Apprenez les fondamentaux de l’enquête en sources ouvertes

Découvrir la formation