HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > SANS FOR 610 (Rétroingénierie de logiciels malfaisants : Outils et techniques d'analyse)
Accéder au : Site HSC généraliste
Télécharger le catalogue des formations
Recherche :  
English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Formations certifiantes SANS
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
   HSC est certifié OPQF   
logo OPQF
|>|SANS FOR 610 (Rétroingénierie de logiciels malfaisants : Outils et techniques d'analyse)  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Tests d'intrusion
o 
o Analyse inforensique avancée et réponse aux incidents - SANS FOR508
o Investigations inforensiques - Windows - SANS FOR408
o 
o Tests d'intrusion des applications web et hacking éthique - SANS SEC542
o Thème actualité
o Thème avis de sécurité
o Newsletter HSC
o Comment nous demander une prestation
o Objectifs
o Certification
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
> 23-28 mai 2016 (Paris)
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
L'analyse des logiciels malfaisants constitue une discipline primordiale et nécessaire durant les investigations numériques et lors des réponses à incident. En effet, cette discipline est l'outil principal des analystes en investigation numérique pour déterminer les éléments clé d'un logiciel malfaisant, leur donnant un cap pour orienter leur investigation. D'autre part, elle permet aux équipes de réponse à incident d'identifier les indicateurs de compromission (IOCs), information capitale dans le traitement des incidents.

Cette formation détaille une approche technique double d'analyse statique et dynamique des logiciels malfaisants destinés aux systèmes Windows. Elle vise également à décrire les techniques d'offuscation JavaScript et Flash implémentées par les logiciels malfaisant ciblant les navigateurs Internet, les documents PDF ainsi que les documents Microsoft Office.

L'approche étudiée tout au long de cette formation se base sur différentes techniques telles que l'analyse comportementale, l'ingénierie inverse statique (utilisation de désassembleur)et dynamique (utilisation de debugger, outils de monitoring...) ainsi que l'analyse de la mémoire Windows. Pour cela, les fondamentaux de l'assembleur x86 seront présentés aux stagiaires afin de leur permettre d'identifier les structures logiques et le flux d'exécution d'un exécutable Windows.

La plupart des outils présentés sont gratuits, chaque stagiaire pouvant repartir avec son laboratoire d'analyse de logiciels malfaisant une fois la formation terminée.


Objectifs

La formation FOR 610 enseigne aux équipes de réponse aux incidents de sécurité de l'information une approche méthodique permettant de qualifier la menace d'un logiciel malfaisant.

Cette formation traite en particulier les thématiques suivantes :

  • Mise en place d'un laboratoire d'analyse des logiciels malfaisants
  • Préparation de l'outillage d'analyse
  • Analyse comportementale de logiciels malfaisants
  • Analyse statique et dynamique de codes malfaisants
  • Introduction à l'architecture x86
  • Identification des structures logiques (boucles, branchement...)
  • Identification des motifs utilisés par les logiciels malfaisants en analysant le code
  • Analyse de la mémoire
  • Contournement de techniques d'auto-protection


Certification

Cette formation prépare à la certification GIAC Reverse Engineering Malware (GREM). Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé GIAC.


Durée

5 jours (9h30-17h30)


Formateur(s)

Responsable de la formation

  • Mouad Abouhali (Mouad.Abouhali@hsc.fr)
    • Certifié CISSP
    • Certifié GREM 'GIAC Reverse Engineering Malware'
    • Certifié GCIH 'GIAC Certified Incident Handler'
  • Steeve Barbeau (Steeve.Barbeau@hsc.fr)
    • Certifié GIAC GCFE 'Certified Forensic Examiner'
    • Certifié GIAC GPEN 'Certified Penetration Tester'
    • Certifié GREM 'GIAC Reverse Engineering Malware'


    Public visé et prérequis

    Cette formation s'adresse aux :

    • Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants
    • Personnel d'équipes de réponse à incident afin de réaliser des analyses avancées des menaces rencontrées
    • Toute personne intéressée par l'analyse des logiciels malfaisants et ayant des connaissances en Windows et langage de bas niveau
    Il est nécessaire de connaître le système Windows, et avoir les bases en programmation et en réseau.


    Méthode pédagogique

    Cours magistral en français avec manipulations et exercices pratiques.


    Cours associés


    Support

    Le support de cours est intégralement en anglais.


    Plan

    1. Les fondamentaux de l'analyse de logiciels malfaisants

    • Configuration de l'environnement d'analyse de logiciels malfaisants
    • Installation des outils pour l'analyse de logiciels malfaisants
    • Réalisation d'analyses comportementales de fichiers exécutables Windows malfaisants
    • Réalisation d'analyses de code statiques et dynamiques de fichiers exécutables Windows malfaisants
    • Informations complémentaires pour la rétro-ingénierie de logiciels malfaisants
    2. Démarches complémentaires d'analyse de logiciels malfaisants
    • Approfondissement des concepts d'analyse dynamiques
    • Modification de fichiers compilés Windows malfaisants
    • Analyse de fichiers exécutables malfaisants compressés
    • Interception des connexions réseaux au sein de l'environnement d'analyse
    • Analyse de logiciels malfaisants basés sur Javascript et Flash ciblant les navigateurs
    3. Analyse de code malfaisant
    • Concepts fondamentaux pour la rétro-ingénierie de logiciels malfaisants
    • Bases d'assembleur Intel x86
    • Etude des techniques d'anti-désassemblage
    • Identification des structures logiques principales en assembleur x86 à l'aide d'un désassembleur
    • Motifs des caractéristiques classiques des logiciels malfaisants au niveau de l'API Windows (injection DLL, remplacement de fonction, enregistrement des saisies clavier, capture de flux réseaux)
    4. Logiciels malfaisants ayant des propriétés défensives
    • Identification des logiciels de compression
    • Décompression manuelle de logiciels Windows malfaisants compressés et protégés
    • Trucs et astuces pour outre-passer les mécanismes anti-analyse présents dans les logiciels malfaisants
    • Techniques complémentaires d'analyse de scripts Web obfusqués avec des outils tels que SpiderMonkey
    5. Documents malfaisants et analyses inforensiques de la mémoire
    • Analyse de documents Microsoft Office (Word, Excel, PowerPoint) et Adobe PDF malfaisants
    • Etude des shellcodes dans le contexte des fichiers malfaisants
    • Analyse de la mémoire pour identifier des caractéristiques de logiciels malfaisants et reconstituer des éléments liés à l'infection
    • Utilisation de l'inforensique mémoire pour analyser des infections de rootkits


    Modalités d'inscription

    Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
    La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
    L'inscription est confirmée dès la réception de ces deux documents.

    Dernière modification le 19 mars 2013 à 14:16:26 CET - webmaster@hsc.fr
    Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants