1. Livres et vidéos
  2. Sécurité informatique et Malwares - Analyse des menaces et mise en oeuvre des contre-mesures (3e édition)

Sécurité informatique et Malwares Analyse des menaces et mise en oeuvre des contre-mesures (3e édition)

  • Accès illimité 24h/24, 7J/7
  • Tous les livres en ligne, les vidéos et les cours enregistrés ENI
  • Plus de 10 nouveautés livres et vidéos chaque mois
  • Les nouveautés disponibles le jour de leur sortie
  • Accès 100% en ligne
  • En stock
  • Expédié en 24h00
  • Livraison à partir de 0,01 €
  • Version en ligne offerte
  • 1 h d'accès gratuit à tous nos livres et vidéos pour chaque commande
  • Accessible immédiatement
  • Version HTML
  • Accès illimité 24h/24, 7J/7

Présentation

Ce livre décrit les techniques et la méthodologie utilisées par les professionnels de l'analyse de malwares (ou logiciels malveillants). Il s'adresse à des informaticiens passionnés de sécurité, à des professionnels dans le domaine de la sécurité informatique, qui souhaitent une approche opérationnelle et hautement technique.

L'auteur commence par l'identification et la classification des malwares, il décrit ensuite les collectes rapportées par des investigations numériques légales (inforensiques) puis les analyse. Ces collectes comportent des images disque, des journaux d'évènements, mais aussi des images mémoire. Les outils et techniques permettant d'analyser ces données sont décrits avec de nombreux exemples.

Après avoir identifié le malware, il convient de l'analyser. L'auteur explique le fonctionnement des outils de sandboxes et décrit des formats de fichier comme les documents PDF, Microsoft Office ou encore les binaires Windows. Afin de réaliser des analyses extrêmement techniques, le livre contient un chapitre entier sur le reverse engineering (ou rétro-ingénierie), l'auteur y explique les bases de l'assembleur (x86 et x64) et l'utilisation d'outils d'analyse statique tel que Ghidra et Radare2 ou de debuggers tels que Immunity Debugger et WinDBG. En complément sur ce sujet du reverse engineering, un chapitre explique les techniques d'obfuscation utilisées par les malwares, telles que l'obfuscation de chaînes de caractères ou l'utilisation de packers. L'auteur détaille les techniques permettant de dépacker des binaires packés. Deux chapitres sont dédiés à l'analyse de malwares sous systèmes mobiles : le système d'exploitation Android de Google et celui d'Apple : iOS. La dernière partie de ce livre parcourt les méthodes permettant d'éradiquer les malwares précédemment identifiés et analysés.

Le livre est illustré d'exemples d'analyses de véritables malwares et les techniques présentées ont toutes été validées sur des cas réels. Tous les codes sources du livre sont en téléchargement sur le site www.editions-eni.fr.



Quizinclus dans
la version en ligne !
  • Testez vos connaissances à l'issue de chaque chapitre
  • Validez vos acquis

Table des matières

  • Compréhension des malwares
    • 1. Présentation des malwares par familles
      • 1.1 Introduction
      • 1.2 Backdoor
      • 1.3 Ransomware et locker
      • 1.4 Stealer
      • 1.5 Miner
      • 1.6 Banking Trojan
      • 1.7 Rootkit
    • 2. Scénario d'infection
      • 2.1 Introduction
      • 2.2 Scénario 1 : l'exécution d'une pièce jointe
      • 2.3 Scénario 2 : le clic malencontreux
      • 2.4 Scénario 3 : l'ouverture d'un document infecté
      • 2.5 Scénario 4 : les attaques informatiques
      • 2.6 Scénario 5 : les attaques physiques : infection par clé USB
      • 2.7 Scénario 6 : les attaques de type Supply Chain
    • 3. Techniques de communication avec le C&C
      • 3.1 Introduction
      • 3.2 Mise à jour de la liste des noms de domaine
      • 3.3 Communication via HTTP/HTTPS/FTP/IRC
      • 3.4 Communication via e-mail
      • 3.5 Communication via un réseau point à point
      • 3.6 Communication via des protocoles propriétaires
      • 3.7 Communication via le protocole DNS
      • 3.8 Communication passive
      • 3.9 Fast flux et DGA (Domain Generation Algorithms)
    • 4. Mode opératoire en cas d'attaques ciblées persistantes (APT)
      • 4.1 Introduction
      • 4.2 Phase 1 : reconnaissance
      • 4.3 Phase 2 : intrusion
      • 4.4 Phase 3 : persistance
      • 4.5 Phase 4 : pivot
      • 4.6 Phase 5 : exfiltration
      • 4.7 Traces laissées par l'attaquant
    • 5. Ressources sur Internet concernant les malwares
      • 5.1 Introduction
      • 5.2 Sites permettant des analyses en ligne
      • 5.3 Sites présentant des analyses techniques
      • 5.4 Sites permettant de télécharger des samples de malwares
    • 6. Conclusion
  • Malware ciblant les systèmes Microsoft Windows
    • 1. Introduction
    • 2. Collecte d'informations
      • 2.1 Introduction
      • 2.2 Collecte et analyse de la base de registre
      • 2.3 Collecte et analyse des journaux d'événements
      • 2.4 Collecte et analyse des fichiers exécutés au démarrage
      • 2.5 Collecte et analyse du système de fichiers
      • 2.6 Gestion des fichiers bloqués par le système d'exploitation
      • 2.7 Framework d'investigation inforensique
      • 2.8 Outil FastIR Collector
    • 3. Image mémoire
      • 3.1 Présentation
      • 3.2 Réalisation d'une image mémoire
      • 3.3 Analyse d'une image mémoire
      • 3.4 Analyse de l'image mémoire d'un processus
    • 4. Fonctionnalités des malwares
      • 4.1 Techniques pour rester persistant
      • 4.2 Techniques pour se cacher
      • 4.3 Malware sans fichier
      • 4.4 Contournement de l'UAC
    • 5. Création d'un laboratoire d'analyse
      • 5.1 Introduction
      • 5.2 VirtualBox
      • 5.3 L'outil de gestion d'échantillons de malwares Viper
    • 6. Analyste du vecteur d’infection
      • 6.1 Informations sur un fichier
        • 6.1.1 Format d'un fichier
        • 6.1.2 Chaînes de caractères présentes dans un fichier
      • 6.2 Analyse dans le cas d'un fichier PDF
        • 6.2.1 Introduction
        • 6.2.2 Extraire le code JavaScript
        • 6.2.3 Désobfusquer du code JavaScript
        • 6.2.4 Conclusion
      • 6.3 Analyse dans le cas d'un fichier Adobe Flash
        • 6.3.1 Introduction
        • 6.3.2 Extraire et analyser le code ActionScript
      • 6.4 Analyse dans le cas d'un fichier JAR
        • 6.4.1 Introduction
        • 6.4.2 Récupération du code source depuis les classes
      • 6.5 Analyse dans le cas d'un fichier Microsoft Office
        • 6.5.1 Introduction
        • 6.5.2 Outils permettant l'analyse de fichiers Office
        • 6.5.3 Cas de malware utilisant des macros : Dridex
        • 6.5.4 Cas de malware utilisant une vulnérabilité
      • 6.6 Utilisation de PowerShell
    • 7. Analyse dans le cas d'un binaire
      • 7.1 Analyse de binaires développés en AutoIt
      • 7.2 Analyse de binaires développés avec le framework .NET
      • 7.3 Analyse de binaires développés en C ou C++
    • 8. Le format PE
      • 8.1 Introduction
      • 8.2 Schéma du format PE
        • 8.2.1 En-tête MZ-DOS
        • 8.2.2 Segment DOS
        • 8.2.3 En-tête PE
        • 8.2.4 Table des sections
        • 8.2.5 Table des imports
        • 8.2.6 Table des exports
        • 8.2.7 Ressources
      • 8.3 Outils pour analyser un PE
      • 8.4 API d'analyse d’un PE
    • 9. Suivre l'exécution d'un binaire
      • 9.1 Introduction
      • 9.2 Activité au niveau de la base de registre
      • 9.3 Activité au niveau du système de fichiers
      • 9.4 Activité réseau
      • 9.5 Activité réseau de type HTTP(S)
    • 10. Utilisation de Cuckoo Sandbox
      • 10.1 Introduction
      • 10.2 Configuration
      • 10.3 Utilisation
      • 10.4 Limitations
      • 10.5 Conclusion
    • 11. Conclusion
  • Reverse engineering
    • 1. Introduction
      • 1.1 Présentation
      • 1.2 Législation
    • 2. Qu’est-ce qu’un processus Windows ?
      • 2.1 Introduction
      • 2.2 Process Environment Block
      • 2.3 Thread Environment Block
    • 3. Assembleur x86
      • 3.1 Registres
      • 3.2 Instructions et opérations
      • 3.3 Gestion de la mémoire par la pile
      • 3.4 Gestion de la mémoire par le tas
      • 3.5 Optimisation du compilateur
    • 4. Assembleur x64
      • 4.1 Registres
      • 4.2 Paramètres des fonctions
    • 5. Analyse statique
      • 5.1 Présentation
      • 5.2 Ghidra
        • 5.2.1 Présentation
      • 5.3 Navigation
        • 5.3.1 Renommages et commentaires
        • 5.3.2 Extensions
      • 5.4 Radare2
        • 5.4.1 Présentation
        • 5.4.2 Ligne de commande
        • 5.4.3 Interfaces graphiques : Cutter
      • 5.5 Techniques d'analyse
        • 5.5.1 Commencer une analyse
        • 5.5.2 Sauts conditionnels
        • 5.5.3 Boucles
      • 5.6 API Windows
        • 5.6.1 Introduction
        • 5.6.2 API d'accès aux fichiers
        • 5.6.3 API d'accès à la base de registre
        • 5.6.4 API de communication réseau
        • 5.6.5 API de gestion des services
        • 5.6.6 API des objets COM
        • 5.6.7 Exemples de l'utilisation de l'API
        • 5.6.8 Conclusion
      • 5.7 Limites de l'analyse statique
    • 6. Analyse dynamique
      • 6.1 Présentation
      • 6.2 Immunity Debugger
        • 6.2.1 Présentation
        • 6.2.2 Contrôle de flux d'exécution
        • 6.2.3 Analyse d'une librairie
        • 6.2.4 Points d'arrêt
        • 6.2.5 Visualisation des valeurs en mémoire
        • 6.2.6 Copie de la mémoire
        • 6.2.7 Support du langage Python
        • 6.2.8 Conclusion
      • 6.3 WinDbg
        • 6.3.1 Présentation
        • 6.3.2 Interface
        • 6.3.3 Commandes de base
        • 6.3.4 Plug-in
        • 6.3.5 Conclusion
      • 6.4 Analyse noyau Windows
        • 6.4.1 Présentation
        • 6.4.2 Mise en place de l'environnement
        • 6.4.3 Protections kernel Windows
        • 6.4.4 Conclusion
      • 6.5 Limites de l'analyse dynamique et conclusion
  • Techniques d'obfuscation
    • 1. Introduction
    • 2. Obfuscation des chaînes de caractères
      • 2.1 Introduction
      • 2.2 Cas de l'utilisation de ROT13
      • 2.3 Cas de l'utilisation de la fonction XOR avec une clé statique
      • 2.4 Cas de l'utilisation de la fonction XOR avec une clé dynamique
      • 2.5 Cas de l'utilisation de fonctions cryptographiques
      • 2.6 Cas de l'utilisation de fonctions personnalisées
      • 2.7 Outils permettant de décoder les chaînes de caractères
    • 3. Obfuscation de l'utilisation de l'API Windows
      • 3.1 Introduction
      • 3.2 Étude du cas Duqu
      • 3.3 Étude du cas EvilBunny
    • 4. Packers
      • 4.1 Introduction
      • 4.2 Packers utilisant la pile
      • 4.3 Packers utilisant le tas
      • 4.4 Encodeur Metasploit
      • 4.5 Outils pour automatiser l’unpacking
    • 5. Autres techniques
      • 5.1 Anti-VM
      • 5.2 Anti-reverse engineering et anti-debug
    • 6. Conclusion
  • Malwares ciblant les systèmes Android
    • 1. Introduction
    • 2. Le système d’exploitation Android
      • 2.1 Historique
      • 2.2 Architecture
      • 2.3 Partitions et systèmes de fichiers
      • 2.4 Sécurité
        • 2.4.1 Sécurité au niveau système
        • 2.4.2 Sécurité au niveau Dalvik /ART
        • 2.4.3 Effet de bord des fonctionnalités de sécurités
      • 2.5 Application Android
      • 2.6 Malwares ciblant les téléphones Android
    • 3. Vecteurs d’infection
      • 3.1 Installation via Google Store
      • 3.2 Installation via des stores alternatifs
      • 3.3 Installation manuelle
      • 3.4 MDM : Mobile Device Management
      • 3.5 Accès physique au terminal
    • 4. Création d’un laboratoire d’analyse
      • 4.1 Machine virtuelle ou téléphone physique ?
      • 4.2 Adb (Android Debug Bridge)
      • 4.3 Accès administrateur (root)
      • 4.4 Capture réseau
        • 4.4.1 Capture réseau pure
        • 4.4.2 Capture HTTP/HTTPS
    • 5. Analyse statique et décompilation d’une application
      • 5.1 Analyse d’un fichier APK
      • 5.2 Code Java et décompilation : Bytecode Viewer
      • 5.3 Anti-VM
      • 5.4 Code natif
      • 5.5 Techniques d’obfuscation
    • 6. Analyse dynamique
      • 6.1 Utilisation de Frida
      • 6.2 Utilisation de gdb pour les binaires natifs
    • 7. Conclusion
  • Malwares ciblant les systèmes iOS
    • 1. Introduction
    • 2. Le système d’exploitation iOS
      • 2.1 Historique
      • 2.2 Architecture
      • 2.3 Partitions et systèmes de fichiers
      • 2.4 Sécurité
      • 2.5 Jailbreak
      • 2.6 Application iOS
      • 2.7 Malwares ciblant iOS
    • 3. Vecteurs d’infection
      • 3.1 Accès physique au terminal
      • 3.2 Liens vers un fichier .ipa
      • 3.3 Stores alternatifs
      • 3.4 MDM malveillant
    • 4. Création d’un laboratoire d’analyse
      • 4.1 Analyse réseau
      • 4.2 Jailbreak d’un terminal et déploiement d’une application
    • 5. Analyse statique d’une application
      • 5.1 Introduction
      • 5.2 Analyse avec Ghidra
    • 6. Analyse dynamique
      • 6.1 Utilisation de Frida
      • 6.2 Utilisation de lldb
    • 7. Technique utilisée par les malwares sous iOS
      • 7.1 Injection de librairies
      • 7.2 Injection de JavaScript
      • 7.3 Keylogger sous iOS
      • 7.4 Terminal jailbreaké et injection de code
    • 8. Conclusion
  • Détection, confinement et éradication
    • 1. Introduction
    • 2. Indicateurs de compromission réseau
      • 2.1 Présentation
      • 2.2 Utilisation des proxys
      • 2.3 Utilisation d’un passive DNS
      • 2.4 Utilisation des détecteurs d'intrusions
      • 2.5 Cas complexes
    • 3. Détection de fichiers
      • 3.1 Présentation
      • 3.2 Empreintes (ou Hash)
      • 3.3 Signatures avec YARA
      • 3.4 Signatures avec ssdeep
    • 4. Détection et éradication de malwares avec ClamAV
      • 4.1 Présentation
      • 4.2 Installation
      • 4.3 Utilisation
    • 5. Artefacts système sous Windows
      • 5.1 Types d'artefacts
      • 5.2 Outils
    • 6. Utilisation d'OpenIOC
      • 6.1 Présentation
      • 6.2 Utilisation
      • 6.3 Interface graphique d'édition
      • 6.4 Détection
    • 7. Conclusion
    • Index

Auteur

Paul RASCAGNERESEn savoir plus

Paul RASCAGNERES, tout au long de sa carrière, a créé en Europe diverses équipes de réponses à incidents, il a également réalisé de nombreuses analyses de codes malveillants complexes pour un éditeur d'anti-virus. Il travaille aujourd'hui dans une équipe de Cyber Threat Intelligence, au sein de laquelle il a pour mission l'analyse de malwares lors d'incidents de sécurité ou lors de projets de recherche. Il participe également activement à la communauté anti-malware et est l'auteur de nombreuses publications. Conférencier à l'international (Europe, Asie, Amérique) sur l'analyse de malwares, il partage dans ce livre ses connaissances dans ce domaine de la sécurité.

Caractéristiques

  • Niveau Confirmé à Expert
  • Nombre de pages 474 pages
  • Parution novembre 2019
    • Livre (broché) - 17 x 21 cm
    • ISBN : 978-2-409-02129-9
    • EAN : 9782409021299
    • Ref. ENI : EP3MAL
  • Niveau Expert
  • Parution novembre 2019
    • HTML
    • ISBN : 978-2-409-02130-5
    • EAN : 9782409021305
    • Ref. ENI : LNEP3MAL

Téléchargements

En complétant ce formulaire, vous acceptez d'être contacté afin de recevoir des informations sur nos produits et services ainsi que nos communications marketing. Vous aurez la possibilité de vous désabonner de nos communications à tout moment. Pour plus d'informations sur notre politique de protection des données, cliquez ici.
  • Des fichiers complémentaires (128 Ko)
  • Webographie (348 Ko)