Analyse des logiciels malveillants : chapitre 3

Ce cours était auparavant intitulé "Sujets avancés de l'analyse des logiciels malveillants".

Conçu pour les analystes de logiciels malveillants expérimentés, ce cours se concentre sur des sujets avancés liés à la lutte contre une variété plus large de logiciels malveillants plus complexes et de mécanismes de défense contre les logiciels malveillants. Il explique comment lutter contre les techniques d'anti-désassemblage, d'anti-débogage et de protection contre les machines virtuelles. Il explique également comment vaincre les exécutables empaquetés et blindés, analyser le chiffrement, encoder des algorithmes et contourner diverses techniques d’obscurcissement. Les techniques de furtivité des logiciels malveillants, les langages et les architectures alternatives sont également abordés.

Les participants apprendront à utiliser les outils et techniques existants, ainsi qu'à rechercher et à développer leurs propres scripts et plug-ins IDA Pro (une licence IDA Pro peut être requise pour les scripts/plug-ins). Tous les concepts et supports sont renforcés par des démonstrations, des études de cas concrets, des exercices continus et des ateliers pour permettre aux participants de mettre en pratique de nouvelles compétences. Les instructeurs sont des analystes expérimentés en logiciels malveillants de FLARE, expérimentés dans la lutte contre les armures de malware de pointe.

Prérequis : solides compétences dans l'architecture x86 et les API Windows Une exposition au développement logiciel est fortement recommandée. Il est recommandé, mais pas obligatoire, de terminer le cours "Analyse des logiciels malveillants : chapitre 2".

À l'issue de ce cours, les participants doivent maîtriser les points suivants :

• Comprendre comment les logiciels malveillants dissimulent leur exécution, y compris l'injection et le remplacement de processus
• Comprendre le fonctionnement du code shell, y compris l'indépendance de la position, la résolution des symboles et les décodeurs
• Comprendre le fonctionnement interne et les limites des désassembleurs tels qu’IDA Pro, ainsi que les méthodes permettant de contourner les mécanismes anti-désassemblage que les auteurs de logiciels malveillants utilisent pour contrecarrer l'analyse
• Comprendre comment lutter contre l'anti-débogage, y compris le contournement des vérifications de synchronisation, la détection des débogueurs Windows et les failles des débogueurs
• Tromper les logiciels malveillants afin qu'ils ne puissent pas détecter ce qui s'exécute dans votre environnement sécurisé
• Comprendre comment les concepts C++ comme l’héritage, le polymorphisme et les objets influencent l’analyse des logiciels malveillants
• Reconnaître les structures C++ courantes à partir du démontage
• Utiliser des fonctionnalités de désassembleur pour améliorer le processus de rétro-ingénierie des binaires C++
• Décompresser manuellement en étudiant différents algorithmes de packer et techniques génériques pour les éliminer rapidement
• Saisir des techniques d'obscurcissement de chaînes couramment utilisées par les logiciels malveillants, prendre les communications des logiciels malveillants et analyser les captures de paquets du réseau

Analystes de logiciels malveillants de niveau intermédiaire à avancé, professionnels de la sécurité des informations, enquêteurs forensiques et autres acteurs qui doivent comprendre comment surmonter les défis difficiles et complexes liés à l’analyse des logiciels malveillants.

Cours en présentiel avec formateur

Cinq jours (formation en personne)

Les participants doivent apporter leur propre ordinateur portable, qui répond aux caractéristiques suivantes :

• VirtualBox 7+
• Au moins 30 Go d'espace HDD libre
• Nous vous recommandons d'utiliser une copie sous licence d'IDA Pro compatible avec l'architecture x86. La version gratuite d'IDA Pro suffira.