Objectifs pédagogiques : acquérir des connaissances généralistes sur le fonctionnement des malwares / Découverte d’une méthodologie d’analyse statique et dynamique / Création de charges encodées
Pré-requis : connaissances généralistes en programmation et système / réseaux
Durée : 3 jours
Public : Développeurs / Pentesters / administrateurs / Analystes
Jour 1 matin
Section 1 - Etat de l'art
Introduction
Historique
Vecteurs d'infection
Compromission
Impacts business
Défenses classiques
Section 2 - Bases système
Séquence de boot
Dissection d’un processus
Dissection d’un exécutable
Jour 1 après-midi
Gestion de la mémoire
Techniques communes
Obfuscation, packers, encoders (évasion)
Section 2 - Environnement
Infrastructure
Bonnes pratiques et création d’un lab
TP / Dépacking et désobfuscation d’une charge
Section 3 - Outils d’analyse
Analyse statique
Analyse dynamique
Présentation des outils d’analyse
Découverte de la suite Sysinternals
Introduction à la suite FLARE Mandiant
TD / Analyse d’un PDF
TD / Analyse Meterpreter / Unicorn / Macros
Sandbox
VirusTotal
Cuckoo
AnyRun
TD / Analyse d’une charge dans une SandBox
Signatures
YARA
Création de règles
Implémentation YARA
Plateformes d’échanges
TD / Signer des malwares
Jour 2 matin
TP / Etude de cas - Analyse d’une attaque et rédaction d’un
rapport
Section 4 - Analyse de dumps mémoire
Acquisition
Volatility
Processus
DLLs
Ruches
Injections
Connections
TP / Analyse de dumps mémoire
Jour 2 après-midi
Section 5 - Introduction à l’assembleur (ia-32)
Introduction
Registres
Flags
Instructions
La pile
TD / Premiers programmes
Hello World (Write)
Boucles
Execve (/bin/sh)
Jour 3 matin
Section 6 - Shellcoding
Introduction à GDB
Commandes utiles
Shellcode méthode stack
Shellcode méthode Jmp-Call-Pop
Les encoders
Les stagers
TP / Création d’un encodeur XOR
TP / Création d’un stager
Jour 3 après-midi
Où trouver des shellcodes
Encoder des shellcodes existants (Metasploit)
TP / Reverse d’une charge
Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)
Certification ou badge : badge
Durée de l'examen : 2 heures
Type d'examen : QCM
Cette formation permet de valider 1 point de compétence pour le Mastère ESD academy.
Pour obtenir le diplôme "Mastère ESD academy", il est nécessaire de valider 12 points de compétence ainsi que le passage devant un jury.
Livret stagiaire : livret_stagiaire_fondamentauxdelanalysedemalwares.pdf
Cahier d'exercice : cahier_exercice_fondamentauxdelanalysedemalwares.pdf
Machines virtuelles : VM_fondamentauxdelanalysedemalwares.ova
Aide-mémoire :aide-mémoire-fondamentauxdelanalysedemalwares.png