Le cours est divisé en deux parties distinctes. La première porte sur les sujets d’investigation informatique et de réponse aux incidents. En particulier, nous examinerons un certain nombre de techniques et outils open source pour l'acquisition et l'analyse des données du réseau, des images du disque dur, des fichiers journaux, et des dump mémoire de système.
La deuxième partie du cours porte sur l’analyse des logiciels malveillants. L’objectif est de familiariser les étudiants avec les principales techniques pour l'analyse des logiciels malveillants. Nous apprendrons l'utilisation des techniques statique (structure interne des fichiers ELF and PE, conception des désassembleurs et décompilateurs, analyse des flux de données et de contrôle...) et des techniques dynamiques (« sandbox », traces de bibliothèque et de « syscall », instrumentation dynamique, débogage, déballage...).
Modalités pédagogiques : Cours magistraux et devoirs maison.
Règles du cours : Les devoirs doivent être rendus dans les délais spécifiés.
Tout le matériel sera fourni pendant le cours.
Les livres suivants peuvent fournir du matériel supplémentaire sur les sujets couverts en classe :
- Livre : LIGH M., ADAIR S., HARTSTEIN B., RICHARD M. Malware Analysis Cookbook. Wiley, 2010, 752p.
- Livre : SIKORSKI M., HONIG A. Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software. No Starch Press, 2012, 800p.
- Livre : LIGH M., CASE Andrew, LEVY J., WALTERS A. The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac memory. John Wiley & Sons, 2014, 912p.
- Livre : EILAM E. Reversing: Secrets of Reverse Engineering. Wiley, 2005, 624p.
- Livre : EAGLE C. The IDA Pro Book. No Starch Press, 2011, 672 p.
- Livre : ALTHEIDE C., CARVEY H. Digital Forensics with Open Source Tools. Syngress, 2011, 288p.
Aucun.
Partie I :
- Introduction à la criminalistique numérique
- Analyse du trafic de réseau
- Analyse de disque et du système de fichiers
- Analyse de système d'exploitation
- Analyse de la mémoire volatile
Partie II :
- Analyse des logiciels malveillants
- Extraction d’informations depuis les fichiers ELF et PE
- Disassembling et decompiling avec IDA Pro et radare2
- Tracing et Debugging
- Unpacking
Objectifs d’apprentissage :
- Analyser un système compromis, extraire des éléments de preuve et percevoir les événements de l’ordinateur.
- Connaître, comprendre et analyser les logiciels malveillants ; leur élaboration et les astuces qu’ils emploient.
Nb heures : 42 heures
Evaluation :
- Devoirs maison (40 % de la note finale)
- Examen final (60 % de la note finale)