Rétroingénierie de logiciels malfaisants
REVERSE1 Version 2024 / 2025
Résumé
Comprendre le fonctionnement des logiciels malveillants est un élément clé nécessaire auprès des entreprises afin de pouvoir répondre de manière plus efficiente à vos incidents de sécurités. L'objectif de cette information est de fournir les éléments clés permettant de comprendre le fonctionnement des logiciels afin de pouvoir créer des "Indicateurs de Compromission" ainsi que des signatures permettant de détecter des versions modifiées des outils malveillants afin de détecter les mises à jour de ceux-ci sans avoir besoin de mettre à jours vos signatures. La formation vous permettra alors de pouvoir analyser tout type de menace, du client lourd à l'application "Flash" en passant par les documents malicieux (office, PDF) en passant par les sites web malveillants et les applications mobiles.
Contenu du cours
Section 1 : Introduction aux bases de l'analyse de logiciels malveillants
-
Processus et méthodologie générique
-
Analyse statique :
-
Analyse des métadonnées
-
Analyse statique
-
-
Analyse dynamique
-
Comportemental
-
Débugger
-
-
Construire son laboratoire d'analyse
-
Simuler internet
-
Utilisation de la virtualisation
-
-
Contournement des mécanismes de protection anti-VM
-
Simulation d'architecture "exotique" (IOT)
-
Construction du laboratoire et boite à outils
-
Sandbox
-
Cas d'analyse
-
Introduction au langage assembleur
-
Guide de survie des instructions de bases
-
Instruction modifiant le flux d'exécution
-
Présentation des registres
-
-
Conventions d'appels
-
Spécificités des langages objets
-
-
IDA Pro :
-
Introduction
-
Prise en main de l'outil (création de scripts)
-
-
Chaine de compilation et binaires
-
Fuite d'informations possibles
-
Imports d'information dans IDA
-
Section 2 : Système d'exploitation
-
Introduction aux systèmes d'exploitation
-
Processus vs thread
-
Scheduler
-
Syscall
-
Différence processus vs thread
-
-
Format d'exécutable
-
Format PE
-
-
Présentation des informations
-
Structures internes
-
SEH
-
TEB
-
PEB
-
SSDT
-
-
Introduction au "kernel debugging"
Section 3 : Mécanismes de protection (DRM ou packer)
-
Introduction aux outils de DRM/Protection de code
-
Comment les identifier ?
-
-
Quels sont les impacts ?
-
Introductions aux différentes techniques de protection :
-
Anti-désassemblage
-
Anti-debogage
-
Obscurcissement du CFG
-
Machine virtuelle
-
Évasion (détection de sandbox/Virtualisation)
-
-
Analyse de packer
-
Présentation de la méthode générique d'unpacking
-
Découverte de l'OEP
-
Reconstruction de la table d'imports
-
-
Miasm2 :
-
Unpacking automatique
Section 4 : Malwares
-
Catégoriser les logiciels malveillants en fonction de leurs API
-
Keyloggers
-
Rootkits (userland et kerneland)
-
Sniffers
-
Ransomwares
-
Bots et C2
-
Injection de code
-
Technique de contournement de flux d'exécution (ie: detour)
-
-
Shellcode
-
Techniques et outils d'analyses
-
Miasm2
-
Unicorn Engine
-
Section 5 : Autres types de malwares
-
Malware "Web" (JavaScript/VBScript)
-
Analyse statique et dynamique
-
Limitation des navigateurs
-
-
Malwares Flash
-
Applications mobiles Android
-
Documents malveillants
-
Suite Office
-
PDF
-
RTF
-
-
Malwares .Net
Section 6 : Threat Intelligence
-
Création de signatures Yara
-
Communication et base de connaissances
-
MISP
-
Yeti
-
Section 7 : Avantage de l'analyse mémoire
Certification
A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification REVERSE1.
Évaluations et sanctions de la formation
-
Quizz intermédiaires
-
Lab technique en fin de module
-
Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid
-
Attestation de présence et de formation
Nos formations sont accessibles aux personnes en situation de handicap.
Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.
Pour en valider l'accès merci de nous contacter contact@formation-IT.org
Durée
5 jours soit 35 heures
Prix Public
4.095 € HT (examen de certification inclus)
Dates à Paris
(présentiel obligatoire)
-
3 - 7 novembre 2025
Public concerné
-
Membres d'un SOC ou d'un CSIRT
-
Équipes de réponse aux incidents
-
Toute personne souhaitant réaliser des analyses avancées des menaces
-
Toute personne intéressée par l'analyse des logiciels malfaisants
-
Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants
-
Analystes
-
Responsables sécurité
Objectifs pédagogiques
-
Qualifier la menace d'un logiciel malfaisant
-
Savoir mettre en place d'un laboratoire d'analyse des logiciels malfaisants et préparer l'outillage d'analyse
-
Analyser de manière statique et dynamique le comportement de logiciels malfaisants
-
Apprendre l'architecture x86
-
Savoir identifier les structures logiques (boucles, branchement...)
-
Savoir identifier des motifs utilisés par les logiciels malfaisants en analysant le code
-
Analyser la mémoire
-
Savoir contourner les techniques d'autoprotection
Pré requis
-
Connaître le système Windows
-
Savoir programmer
-
Avoir les bases en réseau
-
Connaître l'assembleur
Méthode Pédagogique
Cours magistral avec travaux pratiques et échanges interactifs
Supports
-
Support de cours au format papier en français
-
Cahier d'exercices et corrections des exercices
-
Ordinateur portable mis à disposition du stagiaire
-
Certificat attestant de la participation à la formation
Modalité d'évaluation de la formation
Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration
Profil formateur
Instructeur certifié Reverse
Délai d’accès
Se référer aux dates figurant au planning
Sanction de la formation
Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation
* Formation distanciel possible :
-
de votre entreprise
-
de chez vous
-
de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)