Cyber TeachersCyber Teachers
AvancéAnalyse de malwares / Reverse engineering30 à 40 h (module avancé ou formation continue)

Syllabus : Analyse de malwares

Analystes SOC confirmés, incident responders et reverse engineers souhaitant développer des compétences en analyse et classification de codes malveillants.

Téléchargez ce syllabus en PDF

Nous préparons les exports PDF par demande : précisez le syllabus et votre contexte (école, durée, public) via le formulaire de contact.

Accéder au formulaire de contact →

Objectifs pédagogiques

  • Mettre en place un environnement d'analyse de malwares sécurisé et instrumenté.
  • Réaliser une analyse statique et dynamique complète d'échantillons malveillants (PE, scripts, documents piégés).
  • Identifier les techniques d'évasion et d'anti-analyse utilisées par les malwares modernes.
  • Produire des rapports d'analyse avec IoC, règles YARA et signatures de détection.

Séquences

  1. Séance 1 · 5 h

    Fondamentaux et environnement d'analyse

    Taxonomie des malwares (virus, trojans, ransomware, RAT, rootkits, wipers), cycle de vie d'un malware, mise en place d'un lab d'analyse sécurisé (FlareVM, REMnux), précautions de manipulation, outils essentiels.

    Activité : Lab : installation et configuration d'un environnement d'analyse complet (FlareVM + REMnux + INetSim), test de connectivité isolée et manipulation d'un premier échantillon inoffensif.

  2. Séance 2 · 6 h

    Analyse statique de fichiers PE

    Structure du format PE (headers, sections, imports/exports), analyse avec PE-bear et pestudio, extraction de strings, identification de packers (UPX, Themida), unpacking basique, analyse d'entropie, détection de compilateurs.

    Activité : Lab : analyse statique de 3 échantillons de malwares PE : identification des imports suspects, extraction de configurations, unpacking d'un binaire UPX et analyse des strings déchiffrées.

  3. Séance 3 · 7 h

    Analyse dynamique et comportementale

    Exécution contrôlée en sandbox (Any.run, Cuckoo), monitoring de processus (Process Monitor, Process Hacker), analyse réseau (Wireshark, FakeNet), analyse de registre, hooking API, traçage de filesystem.

    Activité : Lab : analyse dynamique d'un trojan bancaire : capture des communications C2, identification des mécanismes de persistence, extraction des domaines contactés et construction de la timeline d'infection.

  4. Séance 4 · 8 h

    Rétro-ingénierie approfondie avec désassembleur

    Analyse dans Ghidra/IDA Pro, reconstruction de flux d'exécution, identification d'algorithmes de chiffrement, analyse de protocoles C2 custom, déobfuscation de code, analyse de shellcode.

    Activité : Lab : reverse engineering d'un RAT : reconstruction du protocole C2, identification de l'algorithme de chiffrement des communications, et écriture d'un déchiffreur Python.

  5. Séance 5 · 6 h

    Techniques anti-analyse et malwares avancés

    Anti-debugging (IsDebuggerPresent, timing checks), anti-VM (détection de sandbox), obfuscation de code, injection de processus (process hollowing, DLL injection), fileless malware, analyse de documents malveillants (macro, OLE).

    Activité : Lab : contournement des protections anti-analyse d'un malware avancé : patching des checks anti-debug, bypass de la détection VM, et analyse d'un document Word piégé avec macro obfusquée.

  6. Séance 6 · 5 h

    Production de signatures et reporting

    Écriture de règles YARA, création de signatures Snort/Suricata, production d'IoC structurés (STIX), rédaction de rapports d'analyse de malware, alimentation de plateformes CTI (MISP), partage communautaire.

    Activité : Atelier : rédaction d'un rapport d'analyse complet sur un échantillon de ransomware : avec règles YARA, IoC réseau et host, mapping MITRE ATT&CK et recommandations de détection.

  7. Séance 7 · 7 h

    Exercice de synthèse : analyse d'une campagne malveillante

    Analyse complète d'une chaîne d'infection multi-étapes : dropper initial, charge utile, persistance, communication C2, exfiltration. Production du rapport final et des artefacts de détection.

    Activité : Exercice : analyse d'une campagne malveillante simulée de bout en bout : du vecteur d'infection initial à l'extraction des IoC, avec production de règles YARA et briefing à l'équipe SOC.

Évaluation

Labs pratiques notés (40 %), rapport d'analyse de malware final (40 %), règles YARA et qualité des IoC produits (20 %).

Prérequis

Connaissances en architecture x86, bases en assembleur, maîtrise de Linux et Windows, notions de reverse engineering.

Outils et environnement

  • Ghidra / IDA Pro
  • x64dbg
  • Process Monitor
  • Wireshark
  • YARA
  • FlareVM / REMnux
  • Cuckoo Sandbox / Any.run

← Tous les syllabus·Contacter Cyber Teachers

logoCyber Teachers
© 2025 Cyber Teachers. Tous droits réservés.

Explorer

Ressources

Réseaux

Légal

Cyber Teachers