Catalogue des formations de l’Université de Lorraine

Analyse avancée de la mémoire RAM

Ce cours enseignera aux participants comment réaliser un dump de RAM exploitable, comment effectuer une analyse de mémoire étape par étape et enfin les bonnes pratiques de travail.

Détails sur cette formation

Localisation Nancy et agglomération
Modalités d'études Présentiel
Tarif 2200 euros - Repas compris
La formation délivre Attestation de formation
Eligible au Compte Personnel de Formation Non
Contact(s) mines-nancy-dfsc@univ-lorraine.fr

Durée et dates de la formation

Dates de la formation Nous contacter
Durée de la formation 4 jours - 24 heures 

Description

L'analyse de la mémoire est devenue une compétence requise pour tous les examinateurs intervenants sur les incidents et investigation numérique. Quel que soit le type d'enquête, la mémoire système et son contenu expose souvent le premier morceau de fil de preuve qui, lorsqu'il est tiré, dénoue toute l'image de ce qui s'est passé sur le système cible.

  • Où est le malware ?
  • Comment la machine a été infectée ?
  • D'où vient l'attaquant ?
  • Qu'est-ce que l'employé mécontent a effectué sur le système ?

Objectifs pédagogiques :

  • savoir comment réaliser un dump de RAM exploitable
  • savoir comment effectuer une analyse de mémoire étape par étape
  • connaître les bonnes pratiques de travail

Tout savoir sur cette formation

Module 1 : Introduction

  • le premier module introduit les concepts fondamentaux concernant la RAM, structure de la RAM, rappels sur le fonctionnement des OS

Module 2 : Données non structurées

  • vous apprendrez comment utiliser « Bulk Extractor » et « Yara » pour analyser les images de la mémoire et extraire les pistes d'enquête telles que des adresses électroniques, des paquets réseaux, et plus encore

Module 3 : Investigations sur les connexions

  • connexions réseaux, liste des socket, lien entre application et ports utilisés

Module 4 :

  • structure interne de la mémoire Rappels sur le fonctionnement du processeur (IDT et SSDT), Extraction des tables, Rappels sur le fonctionnement d'un driver (Windows), Identification des hooks IRP, des fonctions, Extraction du binaire d'un rootkit

Module 5 : Structure interne de la mémoire

  • reconstitution de RAM à partir de fichiers d'hibernation, présentation et utilisation de Volatility, analyse de crash système avec Volatility, présentation et utilisation de Windbg pour l'analyse de crash de système

Module 6 : Mise en pratique

  • nous demandons aux étudiants d'analyser un dump mémoire que nous avons reconstitué à partir d'une machine infectée par un malware de type Flame
  • le travail est réalisé par groupe de deux étudiants
  • un point est fait après 3h d'exercice pour faire progresser ensemble le groupe

Et avant / et après

Prérequis :

  • connaissances de base sur les systèmes d'exploitation
  • connaissances élémentaires en langage Python (boucles, listes, ensemble, chaînes de caractères) et de bash/console

Equipement nécessaire :

  • un ordinateur portable disposant des éléments suivants : - Système d'exploitation (à jour) : Windows XP, 7, ou 8 - RAM : 4 Go minimum - WiFi - VMWare

Public concerné :

  • toutes personnes ayant des connaissances de base sur les systèmes d'exploitation et désirant se former en analyse de mémoire

 

Lire les témoignages des anciens participants

Donnez votre avis

VOUS ETES ?

Choisissez votre profil