Formation Rétroingénierie de Logiciels Malveillants (Reverse)

1 Introduction aux bases de l’analyse de logiciels malveillants

• Processus et méthodologie générique
  • Analyse statique :
• Analyse des métadonnées
  • statique
  • dynamique
  • Comportemental
  • Débugger
• Construire son laboratoire d’analyse
• Simuler internet
• Utilisation de la virtualisation
• Contournement des mécanismes de protection anti-VM
• Simulation d’architecture « exotique » (IOT)
• Construction du laboratoire et boite à outils
• Sandbox

2 Cas d’analyse

• Introduction au langage assembleur

• Guide de survie des instructions de bases
  • Instruction modifiant le flux d’exécution
  • Présentation des registres

• Conventions d’appels
  • Spécificités des langages objets
• IDA Pro:

• Introduction
  • Prise en main de l’outil (création de scripts)

• Chaine de compilation et binaires

• Fuite d’informations possibles
• Imports d’information dans IDA

3  Système d’exploitation

• Introduction aux systèmes d’exploitation

• Processus vs thread
• Scheduler
• Syscall
• Différence processus vs thread

• Format d’exécutable

• Format PE
  • Présentation des informations

• Structures internes
  • SEH,TEB
  • PEB,SSDT
  • Introduction au « kernel debugging »

4 : Mécanismes de protection (DRM ou packer)

• Introduction aux outils de DRM/Protection de code
  • Comment les identifier ?
  • Quels sont les impacts ?
• Introductions aux différentes techniques de protection :
  • Anti-désassemblage
  • Anti-debogage
  • Obscurcissement du CFG
  • Machine virtuelle
  • Évasion (détection de sandbox/Virtualisation)
• Analyse de packer
  • Présentation de la méthode générique d’unpacking
  • Découverte de l’OEP
  • Reconstruction de la table d’imports
• Miasm2 :
  • Unpacking automatique

5 : Malwares

• Catégoriser les logiciels malveillants en fonction de leurs API
  • Keyloggers
  • Rootkits (userland et kerneland)
  • Sniffers
  • Ransomwares
  • Bots et C2
• Injection de code
• Technique de contournement de flux d’exécution (ie: detour)

• Shellcode

• Techniques et outils d’analyses
  • Miasm2
  • Unicorn Engine

6 : Autres types de malwares

• Malware « Web » (JavaScript/VBScript)
• Analyse statique et dynamique
• Limitation des navigateurs
• Malwares Flash
• Applications mobiles Android
• Documents malveillants
• Suite Office
• PDF
• RTF
• Malwares .Net

7: Threat Intelligence

• Création de signatures Yara
• Communication et base de connaissances
• MISP
• Yeti
• Etude de cas

8 Fin de session 

• Synthèse, question et réponses
• QCM d’évaluation à chaud
• Remise des supports de formation et outils pratiques

Profil formateur

• Expert Référent : Esteban F: Ingénieur Cybersécurité Senior & Expert Forensic.
  • Titres & Certifications : Diplôme d’Ingénieur BAC+5 spécialisé en Cybersécurité, certifié PASSI (Auditeur qualifié par l’ANSSI).
  • Compétences clés : Analyste SOC senior et spécialiste de la réponse aux incidents de sécurité majeurs (DFIR).
  • Maîtrise avancée : Développement d’outils et scripts en Python (scraping), manipulation des frameworks d’OSINT et de Threat Intelligence (Maltego, Spiderfoot, Sherlock), architectures réseaux et techniques avancées d’anonymisation.

Pour allez plus loin

Poursuivez la montée en compétences de vos équipes en Forensic et Investigation Numérique grâce à nos cursus avancés

• Analyse de Malwares Méthodologie et Pratique (2 jours)
  •  Connaitre les  méthodologiques et les techniques indispensables pour aborder sereinement l’analyse de malwares. 
• Analyse Inforensique Windows (5 jours)
  •  Pour maîtriser la collecte de preuves et l’analyse post-mortem des artefacts Microsoft.
• Analyse Inforensique avancée – Niveau 2 (5 jours) 
  • Pour piloter la traque de menaces à l’échelle du réseau et orchestrer la réponse à incident.