Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
> > > Analyse de Malware : Expert

Analyse de Malware : Expert

Ce cours complet de 5 jours est assuré par un expert reconnu de l'analyse de malwares et du reverse engineering. Les stagiaires appréhenderont l'analyse de malware par la rétro-conception de plusieurs codes malveillants ayant servi lors d'attaques majeurs (APT). Une partie de la formation portera sur le développement d'outils pour automatiser des actions manuelles de rétro-conception allant du dés-obscurcissement de code au développement d'un désassembleur pour un CPU virtuel. Une attention particulière sera portée à l'analyse de codes malveillants en noyau et leur identification.

Le plus : Deux bootkits (codes malveillants infectant le processus de démarrage du système) seront analysés durant la session.

Objectifs

  • Savoir analyser des malwares utilisés lors d’APT
  • Apprendre à développer des obscurcissements
  • Savoir analyser un malware en mode noyau

Public

  • Analystes des CERT, CSIRT, structures possédant une expérience dans l’analyse de malware ayant besoin d’analyser des codes malveillants complexes.

Prérequis

  • Très bonne connaissance de Windows
  • Savoir faire du Reverse Engineering
  • Savoir développer en Python ou Ruby
  • Bien connaître les API Windows
  • Avoir déjà analysé des malwares

Programme de la formation

Windbg

Analyse d’un malware utilisé lors d’APT

  • Persistance non documentée
  • Dissimulation du code
  • Détection des anomalies
  • Machines virtuelles

Reverse Engineering avancé

  • Communications interprocessus
  • Techniques d’anti-débug et d’anti-Analyse
  • Packers et obfuscation avancée
  • Implémentation de CPU exotique

Automatisation

  • Désobfuscation
  • Unpacking

Noyau

  • Processus de boot
  • Infection du processus de boot
  • Modifications de l’espace noyau
  • PatchGuard
  • Identification de la présence de rootkit
  • Emulation du code exécutable
  • Analyse de deux bootkits 64b

Informatiques pratiques

Il est demandé aux stagiaires de se munir d'un ordinateur portable portable équipé du logiciel VirtualBox (config. minimum : i3 / 2Go Ram).