Analyse de Malwares - les fondamentaux par HSC

Jour 1 :
Section 1 - Etat de l'art
- Introduction
- Historique
- Vecteurs d'infection
- Compromission
- Impacts business
- Défenses classiques
Section 2 - Bases système
- Séquence de boot
- Dissection d'un processus
- Dissection d'un exécutable
- Gestion de la mémoire
- Techniques communes
- Obfuscation, packers, encoders (évasion)
Section 3 - Environnement
- Infrastructure
- Bonnes pratiques et création d'un lab
TP / Dépacking et désobfuscation d'une charge
Section 4 - Outils d'analyse
- Analyse statique
- Analyse dynamique
- Présentation des outils d'analyse
- Découverte de la suite Sysinternals
- Introduction à la suite FLARE Mandiant
TD / Analyse d'un PDF
TD / Analyse Meterpreter / Unicorn / Macros
- Sandbox
- VirusTotal
- Cuckoo
- AnyRun
TD / Analyse d'une charge dans une SandBox
- Signatures
- YARA
- Création de règles
- Implémentation YARA
- Plateformes d'échanges
TD / Signer des malwares
Jour 2 :
TP / Etude de cas
- Analyse d'une attaque et rédaction d'un rapport
Section 5 - Analyse de dumps mémoire
- Acquisition
- Volatility
- Processus
- DLLs
- Ruches
- Injections
- Connections
TP / Analyse de dumps mémoire
Section 6 - Introduction à l'assembleur (ia
- 32)
- Introduction
- Registres
- Flags
- Instructions
- La pile
TD / Premiers programmes
- Hello World (Write)
- Boucles
- Execve (/bin/sh)
Jour 3 :
Section 7 - Shellcoding
- Introduction à GDB
- Commandes utiles
- Shellcode méthode stack
- Shellcode méthode Jmp
- Call
- Pop
- Les encoders
- Les stagers
TP / Création d'un encodeur XOR
TP / Création d'un stager
- Où trouver des shellcodes
- Encoder des shellcodes existants (Metasploit)
TP / Reverse d'une charge
- Examen pour l'obtention d'un badge ESD academy (https://badges.esdacademy.eu)
En partenariat avec ESD

Acquérir des connaissances généralistes sur le fonctionnement des malwares / Découverte d'une méthodologie d'analyse statique et
dynamique / Création de charges encodées