The FLARE Team's Guide to Reverse Engineering Modern Malware

Instructeurs:  L'équipe FLARE
Dates:  15 au 18 juin 2026
Lieu:  Hilton DoubleTree Montreal
Capacité:  30

Cette formation pratique de quatre jours offre une plongée complète dans le monde complexe des logiciels malveillants Windows modernes. Le cours, aboutissement de nombreuses années de rétro-ingénierie en première ligne et de réponse aux incidents de l'équipe FLARE chez Google, vous équipe des compétences pratiques pour disséquer et comprendre même les menaces les plus sophistiquées. Vous acquerrez une maîtrise des internes Windows de bas niveau, des outils de rétro-ingénierie et de l'automatisation en travaillant avec des échantillons difficiles.

Vous acquerrez une expertise pratique dans des domaines clés, notamment en tirant parti du débogage de voyage dans le temps (TTD) et en maîtrisant l'art de la rétro-ingénierie des binaires C++ et .NET. La formation couvre comment les logiciels malveillants modernes utilisent des astuces avancées d'anti-désassemblage et d'anti-débogage pour implémenter l'anti-analyse, et comment les vaincre. Vous apprendrez également à identifier et détecter comment les logiciels malveillants contournent les systèmes EDR modernes en utilisant des techniques comme l'injection de processus et les appels système directs (syscalls). Ce sont des compétences essentielles nécessaires pour faire de la rétro-ingénierie de logiciels malveillants modernes.

Programme du cours

• Jour 1: Analyse de shellcode et techniques d'anti-analyse
  • Rétro-ingénierie et décodage du shellcode
  • Création d'un décodeur de shellcode personnalisé avec Python
  • Techniques communes d'anti-désassemblage et d'anti-débogage
  • Introduction à Time Travel Debugging (TTD) de Microsoft
  • Travaux pratiques: Analyse de shellcode, création d'extracteur, utilisation de TTD
• Jour 2: Time Travel Debugging et techniques d'évasion
  • Compréhension approfondie des capacités de TTD
  • Techniques d'évasion EDR: Unhooking, syscalls directs et indirects
  • Méthodes d'injection de processus: Process Hollowing, Process Doppelgänging, Herpaderping, etc.
  • Travaux pratiques: Utilisation avancée de TTD, analyse de techniques d'évasion modernes
• Jour 3: Techniques cryptographiques de ransomware
  • Algorithmes cryptographiques couramment utilisés dans les ransomwares
  • Identification de crypto dans les logiciels malveillants: RSA, AES, ChaCha20
  • Extraction de clés cryptographiques et tentatives de décryptage
  • Travaux pratiques: Analyse de plusieurs échantillons de ransomware, extraction de clés
• Jour 4: Rétro-ingénierie de C++ et .NET
  • Rétro-ingénierie de binaires C++ avancés
  • Analyse de logiciels malveillants .NET (C# et VB.NET)
  • Travail avec l'obfuscation dans les binaires .NET
  • Travaux pratiques: Analyse complète d'échantillons C++ et .NET complexes

Exigences matérielles/logicielles

• 6 Go de RAM ou plus
• 50 Go d'espace disque disponible
• VirtualBox installé (une VM sera fournie)
• Les puces M1/M2/M3 ne sont pas supportées

Prérequis

• Expérience en analyse de logiciels malveillants
• Expérience en langage d'assemblage

Objectifs

• Acquérir une expertise pratique en rétro-ingénierie de logiciels malveillants Windows modernes, incluant l'analyse de shellcode, l'identification de techniques d'évasion/anti-analyse et la compréhension de méthodes cryptographiques avancées
• Maîtriser l'utilisation d'outils spécialisés tels que le débogage de voyage dans le temps (TTD) de Microsoft, IDA Pro et des scripts Python personnalisés pour automatiser et améliorer les capacités d'analyse
• Développer des compétences pour rétro-ingénierer des binaires C++ complexes et des logiciels malveillants .NET, incluant la gestion de l'obfuscation et l'extraction de composants critiques tels que les clés cryptographiques

Qui devrait suivre ce cours

• Analystes de sécurité et chasseurs de menaces
• Chercheurs en logiciels malveillants et rétro-ingénieurs
• Intervenants en cas d'incident
• Développeurs d'outils de sécurité

Qui ne serait pas un bon candidat pour ce cours

• Débutants complets en rétro-ingénierie ou analyse de logiciels malveillants
• Ceux sans expérience préalable en langage d'assemblage

BIO

L'équipe FLARE de Google Cloud (Mandiant) est composée d'ingénieurs en rétro-ingénierie chevronnés dédiés à l'analyse de logiciels malveillants complexes et au développement de stratégies d'automatisation innovantes. Avec des décennies d'expérience combinée à affronter des adversaires étatiques et le crime organisé, l'équipe apporte une richesse de connaissances pratiques et éprouvées sur le terrain en salle de classe. Les membres de FLARE sont des conférenciers fréquents lors de grandes conférences de sécurité et sont les créateurs d'outils d'analyse open source largement utilisés, conçus pour automatiser les aspects les plus ardus du processus de rétro-ingénierie.

Pour s'inscrire

Cliquez ici pour vous inscrire.