HSC   Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Training courses > SANS FOR 610 (Rétroingénierie de logiciels malfaisants : Outils et techniques d'analyse)
Go to: HSC main site
Download the training catalog
Search:  
Version française
   Training courses   
o Planning
o Organismes de certifications
o Labels des formations
o Certifications et qualifications d'HSC
o Formations universitaires
   E-learning   
o E-learning HSC
o ISO 27001
o PHP security
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
   HSC est certifié OPQF   
logo OPQF
|>|SANS FOR 610 (Rétroingénierie de logiciels malfaisants : Outils et techniques d'analyse)  
Training courses
See also...
o Organization of the courses
o Training sessions planning
o Penetration tests
o 
o 
o 
o 
o 
o Theme news
o Theme advisories
o HSC Newsletter
o How to request an intervention
o Goals
o Certification
o Duration
o Instructor(s)
o Pre-requisite for attendants
o Teaching method
o Related courses
o Material
o Agenda
o Methods of inscription

Dates of the coming sessions:
- No session in the coming months
Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.
L'analyse des logiciels malfaisants constitue une discipline primordiale et nécessaire durant les investigations numériques et lors des réponses à incident. En effet, cette discipline est l'outil principal des analystes en investigation numérique pour déterminer les éléments clé d'un logiciel malfaisant, leur donnant un cap pour orienter leur investigation. D'autre part, elle permet aux équipes de réponse à incident d'identifier les indicateurs de compromission (IOCs), information capitale dans le traitement des incidents.

Cette formation détaille une approche technique double d'analyse statique et dynamique des logiciels malfaisants destinés aux systèmes Windows. Elle vise également à décrire les techniques d'offuscation JavaScript et Flash implémentées par les logiciels malfaisant ciblant les navigateurs Internet, les documents PDF ainsi que les documents Microsoft Office.

L'approche étudiée tout au long de cette formation se base sur différentes techniques telles que l'analyse comportementale, l'ingénierie inverse statique (utilisation de désassembleur)et dynamique (utilisation de debugger, outils de monitoring...) ainsi que l'analyse de la mémoire Windows. Pour cela, les fondamentaux de l'assembleur x86 seront présentés aux stagiaires afin de leur permettre d'identifier les structures logiques et le flux d'exécution d'un exécutable Windows.

La plupart des outils présentés sont gratuits, chaque stagiaire pouvant repartir avec son laboratoire d'analyse de logiciels malfaisant une fois la formation terminée.


Goals

La formation FOR 610 enseigne aux équipes de réponse aux incidents de sécurité de l'information une approche méthodique permettant de qualifier la menace d'un logiciel malfaisant.

Cette formation traite en particulier les thématiques suivantes :

  • Mise en place d'un laboratoire d'analyse des logiciels malfaisants
  • Préparation de l'outillage d'analyse
  • Analyse comportementale de logiciels malfaisants
  • Analyse statique et dynamique de codes malfaisants
  • Introduction à l'architecture x86
  • Identification des structures logiques (boucles, branchement...)
  • Identification des motifs utilisés par les logiciels malfaisants en analysant le code
  • Analyse de la mémoire
  • Contournement de techniques d'auto-protection


Certification

Cette formation prépare à la certification GIAC Reverse Engineering Malware (GREM). Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé GIAC.


Duration

5 jours (9h30-17h30)


Instructor(s)

Responsable de la formation

  • Mouad Abouhali (Mouad.Abouhali@hsc.fr)
    • CISSP certified
    • GIAC GREM 'Certified Reverse Engineering Malware'
    • GIAC GCIH 'Certified Incident Handler'
    • GIAC GREM 'Certified Reverse Engineering Malware'
  • Steeve Barbeau (Steeve.Barbeau@hsc.fr)
    • GIAC GCFE 'Certified Forensic Examiner' certified
    • GIAC GPEN 'Certified Penetration Tester' certified
    • GIAC GREM 'Certified Reverse Engineering Malware'


    Pre-requisite for attendants

    Cette formation s'adresse aux :

    • Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants
    • Personnel d'équipes de réponse à incident afin de réaliser des analyses avancées des menaces rencontrées
    • Toute personne intéressée par l'analyse des logiciels malfaisants et ayant des connaissances en Windows et langage de bas niveau
    Il est nécessaire de connaître le système Windows, et avoir les bases en programmation et en réseau.


    Teaching method

    Cours magistral en français avec manipulations et exercices pratiques.


    Related courses


    Material

    Le support de cours est intégralement en anglais.


    Agenda

    1. Les fondamentaux de l'analyse de logiciels malfaisants

    • Configuration de l'environnement d'analyse de logiciels malfaisants
    • Installation des outils pour l'analyse de logiciels malfaisants
    • Réalisation d'analyses comportementales de fichiers exécutables Windows malfaisants
    • Réalisation d'analyses de code statiques et dynamiques de fichiers exécutables Windows malfaisants
    • Informations complémentaires pour la rétro-ingénierie de logiciels malfaisants
    2. Démarches complémentaires d'analyse de logiciels malfaisants
    • Approfondissement des concepts d'analyse dynamiques
    • Modification de fichiers compilés Windows malfaisants
    • Analyse de fichiers exécutables malfaisants compressés
    • Interception des connexions réseaux au sein de l'environnement d'analyse
    • Analyse de logiciels malfaisants basés sur Javascript et Flash ciblant les navigateurs
    3. Analyse de code malfaisant
    • Concepts fondamentaux pour la rétro-ingénierie de logiciels malfaisants
    • Bases d'assembleur Intel x86
    • Etude des techniques d'anti-désassemblage
    • Identification des structures logiques principales en assembleur x86 à l'aide d'un désassembleur
    • Motifs des caractéristiques classiques des logiciels malfaisants au niveau de l'API Windows (injection DLL, remplacement de fonction, enregistrement des saisies clavier, capture de flux réseaux)
    4. Logiciels malfaisants ayant des propriétés défensives
    • Identification des logiciels de compression
    • Décompression manuelle de logiciels Windows malfaisants compressés et protégés
    • Trucs et astuces pour outre-passer les mécanismes anti-analyse présents dans les logiciels malfaisants
    • Techniques complémentaires d'analyse de scripts Web obfusqués avec des outils tels que SpiderMonkey
    5. Documents malfaisants et analyses inforensiques de la mémoire
    • Analyse de documents Microsoft Office (Word, Excel, PowerPoint) et Adobe PDF malfaisants
    • Etude des shellcodes dans le contexte des fichiers malfaisants
    • Analyse de la mémoire pour identifier des caractéristiques de logiciels malfaisants et reconstituer des éléments liés à l'infection
    • Utilisation de l'inforensique mémoire pour analyser des infections de rootkits


    Methods of inscription

    For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 15 days before the course. This strict delay is imposed by SANS. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.

    Last modified on 1 February 2017 at 16:06:57 CET - webmaster@hsc.fr
    Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants