The FLARE Team's Guide to Reverse Engineering Modern Malware

Instructeur:  Josh Stroschein
Dates:  15 au 18 juin 2026
Capacité:  30

Cette formation pratique de quatre jours offre une plongée complète dans le monde complexe des logiciels malveillants Windows modernes. Le cours, aboutissement de nombreuses années de rétro-ingénierie en première ligne et de réponse aux incidents de l'équipe FLARE chez Google, vous équipe des compétences pratiques pour disséquer et comprendre même les menaces les plus sophistiquées. Vous acquerrez une maîtrise des internes Windows de bas niveau, des outils de rétro-ingénierie et de l'automatisation en travaillant avec des échantillons difficiles.

Vous acquerrez une expertise pratique dans des domaines clés, notamment en tirant parti du débogage de voyage dans le temps (TTD) et en maîtrisant l'art de la rétro-ingénierie des binaires C++ et .NET. La formation couvre comment les logiciels malveillants modernes utilisent des astuces avancées d'anti-désassemblage et d'anti-débogage pour implémenter l'anti-analyse, et comment les vaincre. Vous apprendrez également à identifier et détecter comment les logiciels malveillants contournent les systèmes EDR modernes en utilisant des techniques comme l'injection de processus et les appels système directs (syscalls). Ce sont des compétences essentielles nécessaires pour faire de la rétro-ingénierie de logiciels malveillants modernes.

Programme du cours

• Jour 1: Analyse de shellcode et techniques d'anti-analyse
  • Rétro-ingénierie et décodage du shellcode
  • Création d'un décodeur de shellcode personnalisé avec Python
  • Techniques communes d'anti-désassemblage et d'anti-débogage
  • Introduction à Time Travel Debugging (TTD) de Microsoft
  • Travaux pratiques: Analyse de shellcode, création d'extracteur, utilisation de TTD
• Jour 2: Time Travel Debugging et techniques d'évasion
  • Compréhension approfondie des capacités de TTD
  • Techniques d'évasion EDR: Unhooking, syscalls directs et indirects
  • Méthodes d'injection de processus: Process Hollowing, Process Doppelgänging, Herpaderping, etc.
  • Travaux pratiques: Utilisation avancée de TTD, analyse de techniques d'évasion modernes
• Jour 3: Techniques cryptographiques de ransomware
  • Algorithmes cryptographiques couramment utilisés dans les ransomwares
  • Identification de crypto dans les logiciels malveillants: RSA, AES, ChaCha20
  • Extraction de clés cryptographiques et tentatives de décryptage
  • Travaux pratiques: Analyse de plusieurs échantillons de ransomware, extraction de clés
• Jour 4: Rétro-ingénierie de C++ et .NET
  • Rétro-ingénierie de binaires C++ avancés
  • Analyse de logiciels malveillants .NET (C# et VB.NET)
  • Travail avec l'obfuscation dans les binaires .NET
  • Travaux pratiques: Analyse complète d'échantillons C++ et .NET complexes

Exigences matérielles/logicielles

• 6 Go de RAM ou plus
• 50 Go d'espace disque disponible
• VirtualBox installé (une VM sera fournie)
• Les puces M1/M2/M3 ne sont pas supportées

Prérequis

• Expérience en analyse de logiciels malveillants
• Expérience en langage d'assemblage

Objectifs

• Acquérir une expertise pratique en rétro-ingénierie de logiciels malveillants Windows modernes, incluant l'analyse de shellcode, l'identification de techniques d'évasion/anti-analyse et la compréhension de méthodes cryptographiques avancées
• Maîtriser l'utilisation d'outils spécialisés tels que le débogage de voyage dans le temps (TTD) de Microsoft, IDA Pro et des scripts Python personnalisés pour automatiser et améliorer les capacités d'analyse
• Développer des compétences pour rétro-ingénierer des binaires C++ complexes et des logiciels malveillants .NET, incluant la gestion de l'obfuscation et l'extraction de composants critiques tels que les clés cryptographiques

Qui devrait suivre ce cours

• Analystes de sécurité et chasseurs de menaces
• Chercheurs en logiciels malveillants et rétro-ingénieurs
• Intervenants en cas d'incident
• Développeurs d'outils de sécurité

Qui ne serait pas un bon candidat pour ce cours

• Débutants complets en rétro-ingénierie ou analyse de logiciels malveillants
• Ceux sans expérience préalable en langage d'assemblage

BIO

Josh Stroschein est un analyste de logiciels malveillants et rétro-ingénieur expérimenté et a une passion pour partager ses connaissances avec les autres. Josh est un rétro-ingénieur avec l'équipe FLARE chez Google Cloud (Mandiant), où il se concentre sur la lutte contre les dernières menaces. Il détient un doctorat en sciences de l'Université d'État du Dakota. Josh est un formateur accompli et un conférencier régulier dans des endroits tels que Ring Zero, BlackHat, Defcon, Toorcon, Hack-In-The-Box, Suricon et d'autres lieux publiquess et privés. Josh est également auteur sur Pluralsight, où il publie du contenu sur l'analyse de logiciels malveillants, la rétro-ingénierie et d'autres sujets liés à la sécurité.

Pour s'inscrire

Cliquez ici pour vous inscrire.