Introduction à la rétro conception et analyse de Malware
Code UE : USCB1A
- Cours + travaux pratiques
- 3 crédits
Responsable(s)
Nicolas PIOCH
Objectifs pédagogiques
Description :
Lorsqu'un malware est détecté dans un système informatique, les responsables sécurité doivent en connaître le fonctionnement pour mieux contrer ses effets. Cette formation aborde des techniques d’analyses statiques de code, de la retro-conception ainsi que la connaissance de techniques de bases de conception d’exploits utilisés par différents malwares pour persister ou détourner le comportement d’un programme légitime afin d'obtenir plus de privilèges.
Objectifs pédagogiques :
Être capable de faire une retro-conception d’un logiciel malveillant, de caractériser son comportement afin de comprendre la menace. Publier un rapport de sécurité au profit des institutions.
Lorsqu'un malware est détecté dans un système informatique, les responsables sécurité doivent en connaître le fonctionnement pour mieux contrer ses effets. Cette formation aborde des techniques d’analyses statiques de code, de la retro-conception ainsi que la connaissance de techniques de bases de conception d’exploits utilisés par différents malwares pour persister ou détourner le comportement d’un programme légitime afin d'obtenir plus de privilèges.
Objectifs pédagogiques :
Être capable de faire une retro-conception d’un logiciel malveillant, de caractériser son comportement afin de comprendre la menace. Publier un rapport de sécurité au profit des institutions.
Compétences visées
Compétences acquises :
- Savoir préparer un laboratoire d’analyse d’un malware
- Savoir analyser et comprendre le comportement de logiciels malveillants
- Savoir détecter et contourner les techniques d’autoprotection
- Savoir rédiger un rapport d’analyses sur un malware
- Comprendre les techniques d’infection, d’exploitation de vulnérabilité, Shellcode, logiciel IDA, Cuckoo SandBox, mécanisme de protection anti-malware
Contenu
Contenu :
- Introduction
- Cadre légal concernant la rétro conception
- Typologie des malwares, vecteurs d’infection, mécanisme de persistance et de propagation
- Triptyques moyens de l’attaquant / volonté / intérêt de la cible
- Introduction au binaire
- Chargement et exécution en mémoire (code, données, imports et relocations)
- Introduction à l'assembleur x86 (instructions, Piles / Tas, conventions d'appels, appels systèmes, etc.)
- Compréhension technique des vulnérabilités et exploits
- Mise en place d’un laboratoire d’analyse
- Les vulnérabilités de corruption mémoire
- Buffer overflow sur la pile
- Integer overflow (Explications, manipulation et contre-mesures)
- Vulnérabilités sur le tas (Heap buffer overflow, User after free, Double free)
- Les mitigations et contournements (canaris, ASLR, DEP) et mécanismes modernes (Windows 10)
- Les shellcodes
- Différences avec un binaire
- Indépendance vis-à-vis d’un loader
- Création d’un shellcode linux en assembleur
- Analyse statique de malware
- Utilisation du logiciel Ghidra (méthodologie, analyse statique de code)
- Patterns et signatures, vérification d'intégrité, Métriques d'entropie, heuristiques, etc.
- Analyse dynamique de malware
- Introduction à Cuckoo SandBox
- Debug et suivi de traces
- Mécanismes d’anti-analyse
- Packing / protection (chiffrement de codes, anti-désassemblage)
- Protection contre les machines virtuelles, les débogueurs, outils de rétro-ingénierie
- Offuscation, chiffrement, ancrage
- Le rapport d’analyse
Modalité d'évaluation
Examen de 2 heures
Cette UE apparaît dans les diplômes et certificats suivants
Rechercher une formation
RECHERCHE MULTI-CRITERES
Plus de critères de recherche sont proposés:
-
Vous pouvez sélectionner des formations grâce à un mot ou à une expression (chaîne de caractères) présent dans l’intitulé de la formation, sa description ou ses index (discipline ou métier).
Des mots-clés sont suggérés à partir du 3e caractère saisi, mais vous pouvez aussi rechercher librement. - Les différents items sélectionnés sont croisés.
ex: "Comptabilité" et "Diplôme" - Les résultats comprennent des formations du Cnam Liban (UE, diplômes, certificats, stages) et des formations proposées à distance par d'autres centres du Cnam.
- Les codes des formations du Liban se terminent par le suffixe LIB.
- Dans tous les cas, veillez à ne pas insérer d'espace ni de ponctuation supplémentaire.
Plus de critères de recherche sont proposés:
- Type de diplôme
- Niveau d'entrée
- Modalité de l'enseignement
- Programmation semestrielle
Chargement du résultat...
Intitulé de la formation |
Type |
Modalité(s) |
Lieu(x) |
|
---|---|---|---|---|
Intitulé de la formation
Master Sécurité informatique, cybersécurité et cybermenaces
|
Lieu(x)
Package
|
Lieu(x)
Bretagne
|
||
Intitulé de la formation
Master Sécurité informatique, cybersécurité et cybermenaces
|
Lieu(x)
Alternance
|
Lieu(x)
, Pays de la Loire
|
||
Intitulé de la formation | Type | Modalité(s) | Lieu(x) |
Contact
Cnam Centre Régional de Bretagne
Zoopôle Les Croix 2 rue Camille Guérin
22440 Ploufragan
Tel :0 972 311 312
Isabelle Guée
Zoopôle Les Croix 2 rue Camille Guérin
22440 Ploufragan
Tel :0 972 311 312
Isabelle Guée
Voir le calendrier, le tarif, les conditions d'accessibilité et les modalités d'inscription dans le(s) centre(s) d'enseignement qui propose(nt) cette formation.
Enseignement non encore programmé
Code UE : USCB1A
- Cours + travaux pratiques
- 3 crédits
Responsable(s)
Nicolas PIOCH