AccueilFormationsFormations techniques cybersécuritéAnalyse de malware : Reverse engineering

Analyse de malware : Reverse engineering

Dans ce second module sur l'analyse de malware, les stagiaires découvriront tous les outils et méthodes pour effectuer du reverse engineering de malware. Le formateur présentera également les différentes méthodes d'obfuscation et le packing de malware. Des cas réels de malware découverts par SEKOIA seront utilisés lors de cette formation. Les malwares seront tenus sous contrôle via des machines virtuelles.

Objectifs

  • • Savoir mettre en place un lab d'analyse sécurisé
  • • Connaître le format des binaires Windows (PE)
  • • Maîtriser les langages assembleur x86 et x64
  • • Savoir utiliser un désassembleur et un debugger
  • • Connaître les différentes techniques d'obfuscation et de packing

Description

Ce cours de 2,5 jours permettra au stagiaire de savoir effectuer de la rétro-ingénierie de malware.

Très axée sur la pratique, la formation a pour but d'apprendre aux stagiaires à :
• mettre en place un lab d'analyse sécurisé,
• utiliser le format des binaires Windows (PE)
• utiliser un désassembleur et un debugger
• différencier les différentes techniques d'obfuscation et de packing

Résolument tourné vers la pratique, ce cours permettra aux stagiaires d'acquérir de solides connaissances dans l'analyse de malware.

Public Concerné

Tout public intéressé par l'analyse de malware.

Pré-requis

  • • Connaissances solides en systèmes d'exploitation et réseau.
  • • Connaissances de base en développement

Plan de cours

  - Jour 1: 
      * Configuration d'un laboratoire d'analyse dans une machine virtuelle (VirtualBox ou VMware) 
      * Le reste de la journée sera dédié à l'apprentissage de l'assembleur X86 ainsi que les specificités de l'assembler X64 (mémoire, registres...)
      * Point sur le x64
      * Etude du format de binaire Windows (PE) 
      * Architecture Win32 et création de processus (PEB, TEB, ...)


- Jour 2:
* Presentation de l'analyse statique (via IDA Pro / Radare2 / relyze)
* Presentation de l'analyse dynamique (via Immunity Debugger / WinDBG)
* Présentation des API de developpement sur ces deux logiciels
* Présentation des techniques d'obfuscation (chaines de caractères, API, ...)
* Analyse de packers
* Analyse d'un ransomware


- Jour 3:
* Analyse d'un exploit
* Analyse d'une ROP chain
* Analyse d'un shellcode
* divers exercices
* Suivant le public: reverse kernel (configuration du lab, mecanisme, ...)