Rétro-ingénierie pour la sécurité

  • Lieu : AMOSSYS / Rennes
  • Durée : 5 jours
  • Niveau : Panorama avancé
  • Ref. RETRO-AV

Public concerné

Analyste SOC/CERT, auditeur, ingénieurs R&D, ...

Pré-requis

Connaissances en architecture des OS (environnements Windows et/ou Linux)

Connaissance des protocoles réseau TCP/IP

Objectif

Acquérir un socle de compétences en analyse statique et dynamique de programmes dans un contexte de sécurité.

Description

  • La rétro-ingénierie consiste à étudier un système pour en comprendre son fonctionnement interne ainsi que les entrées et sorties attendues.
  • La rétro-ingénierie est nécessaire dans différents cadres d’emploi liés à la sécurité, tels que l’analyse de robustesse et de vulnérabilités de programmes, l’analyse de malware ou encore l’évaluation et l’audit d’applications tierces.
  • Cette formation permettra d'acquérir les fondamentaux et de maitriser les différentes méthodes de rétro-ingénierie.

Programme

  • Partie 1 - Introduction à la rétro-ingénierie et rappels
    • Cas d’usages
      • Aspects réglementaire
        • Démarche d'analyse
          • Rappels / Fondamentaux
            • formats de fichier exécutable
            • assembleur sur architecture x86/x64
            • communication interprocessus sous Windows et Linux
            • communication avec l'espace noyau
            • mécanismes de sécurité
        • Partie 2 - Analyse d'impact d'un programme
          • Comprendre l'architecture d'un programme
            • Identifier ses interfaces internes et externes
              • Techniques d'analyse d'impact
                • analyse statique rapide
                • traçage de programmes
                • monitoring système
                • analyse réseau rapide
                • identification des mécanismes de sécurité utilisés
            • Partie 3 - Analyse statique de binaire
              • Désassemblage
                • Décompilation
                  • Utilisation d'un langage intermédiaire
                    • Analyse des valeurs
                      • Analyse par teinte
                        • Analyse différentielle
                        • Partie 4 - Analyse dynamique de binaire
                          • Débogage d’applications (approche manuelle et scripting)
                            • Instrumentation d’applications
                              • Analyse de couverture de code
                                • Dump de processus
                                  • Débogage à distance
                                  • Partie 5 - Analyse de protocoles réseau
                                    • Analyse de flux chiffrés
                                      • Instrumentation réseau à la volée
                                        • Analyse de protocoles propriétaires
                                          • capture des messages
                                          • modélisation du protocole
                                          • rétro-conception du format des messages
                                          • identification de la machine à états du protocole
                                          • génération de trafic