Les objectifs de la formation virus et malwares

 

Lieu de formation : Paris La Défense - PLB CONSULTANT

 

La formation Pegase Secure, d'une durée de trois jours, permet de comprendre les mécanismes d’actions des virus et des malwares ainsi que les différentes façons de se protéger et d'éradiquer les menaces sans choisir un outil particulier. On retrouvera une forte analogie avec le monde médical (symptômes, analyses, diagnostics, traitements, culture biologique) qui vous permettra d’assimiler clairement les concepts et manipulations techniques effectuées. Vous serez à même de réparer rapidement un poste sans le formater.

 

Eviter le formatage en cas d’infection
Identifier et neutraliser les malwares
Rechercher la source d’une infection
Distinguer une infection d’un dysfonctionnement
Ordonner et optimiser l’éradication d’une infection virale
Créer un script permettant de vérifier la présence de malwares

Sensibiliser les utilisateurs face au social engineering
Elaborer un schéma de protection en adéquation avec les besoins de l’entreprise

 

 

Plan de formation

 

Les exercices et les démonstrations de cette formation ont pour vocation de permettre aux participants de manipuler virus et malwares pour étudier leur comportement. Ces infections en milieu contrôlé ont pour vocation d'apprendre à effectuer des désinfections ciblées sans passer par le formatage et les méthodes de scan classiques qui s’avèrent longues et fastidieuses. La formation permet d'intervenir sur tous les sysèmes Windows. La création  en fin de session d’un script de vérification permet à chacun d’appréhender concrètement toutes les zones où les virus et autres codes malicieux ont l’habitude de se dissimuler sur les environnements Windows.

 

TELECHARGER Le plan de formation

 

Vocabulaire et concepts

 

Les infections virales
Démystifier les virus sans les sous-estimer
Comment classifier les menaces : virus, ver, cheval de Troie, rootkit, backdoor…
Principes généraux de fonctionnement des menaces par famille

Le social engineering et les techniques employées
Botnet et ordinateurs zombies (fonctionnement et raison d’être)
Le Cross Scripting et les dangers du Web

Les vecteurs d’infection (media, réseau, poste itinérant, Web, …)
Désactivation et contournement des sécurités

 

TP : Infection de fichier et visualisation des symptômes en hexadécimal

TP : Réalisation d’un cheval de Troie
TP : Utilisation d’un backdoor et déstabilisation du firewall

TP : Manipulation d’un rootkit
TP : Installation de Spyware et visualisation de phishing

 

 

Les tendances actuelles des infections

 

Les chiffes des infections
Un ordinateur sur quatre est infecté dans le monde
SPAM le cœur d’un business lucratif
Connaître les risques logistiques pour l’entreprise
Evolution des menaces

 

 

Panorama des technologies de protections

 

Virus et anti-virus, le jeu du chat et de la souris
Différence de détection : « Virus in the wild » et « virus zoo »
Détection séquentielle, générique, heuristiques, comportementale, bac à sable…
Packer : le talon d’Achille des antivirus
Les faux positifs
Les anti-virus en ligne sont-ils efficaces ?

 

TP : Utilisation d’un bac à sable avec un spyware

TP : Mise en difficulté des détections antivirus
TP : Blocage anti-virus en ligne

 

Les firewalls
Concepts des connexions réseaux
Le rôle du firewall dans la détection
Les limites du firewall logiciel ou matériel
Le problème de l’injection des applications tierces
Les applications sensibles (IE, mails, P2P, …)

 

TP : Contournement d'un firewall

 

 

Problème viral, logiciel ou matériel ?

 

Fonctionnement d’un programme
Programme et DLL
Les injections virales

TP : Injection virale et conséquences

 

Fonctionnement « normal » de windows
Démarrage du système (boot, noyau, bureau, services,…)
Tour d’horizon des principaux services (svchost, explorer, winlogon, …)
Les signes d’une infection
Les outils pour identifier un processus « anormal »

 

TP : Méthodologie d’utilisation d’outils spécialisés

 

Recherche d’un malware maître et désactivationMode d’activation des codes malicieux
Principes d’activation au démarrage
Réactivation du virus à chaque démarrage
Liste des fichiers sensibles
Base de registre et les clés du paradis viral
La limite du mode sans échec
Les failles de compatibilité ascendante Windows
Multiplication des entrées, question de survie

TP : Tester les entrées sensibles de Windows

 

Désactivation manuelle des codes malicieux
L’intervention humaine au secours des antivirus
Méthodologie de vérification et outils à utiliser
Liste des fichiers système à vérifier
Les entrées favorites des virus dans la base de registres
Les outils complémentaires à la détection

 

TP : Création d’un script de vérification
TP : Méthodologie de lecture du rapport de script

 

 

Suppression des malwares

 

Identifier « l’infection mère »
Neutraliser les processus malveillants maîtres
Eradiquer « l’éternel retour »
Prise en compte d’effets combinés sur de multiples infections
Supprimer les résiduels inactifs
Peux-t-il être trop tard ?

 

TP : Utilisation du script face aux infections
TP : Interprétation des résultats du rapport de script
TP : Méthodologie d’Identification les sources d’infection
TP : Désinfection ciblée sans formatage

 

 

Sécuriser son entreprise

 

Le facteur humain

Les informations à diffuser aux utilisateurs
Les erreurs à ne pas commettre lors des sauvegardes
Exemple de contamination liée à une connexion administrateur
Les protocoles de vérification à mettre en place
Choisir ses systèmes de sécurité
Positionnement des sécurités dans le réseau
Le déploiement des solutions
Contrôler les applications installées sur les machines utilisateurs
Contrôler les postes itinérants
Les solutions de type « Proxy »
Les solutions de type « Appliance »

 

TP : Installation de Proxy sécurisé

TP : Utilisation de HIPS
TP : Mise en place d’un schéma idéal pour son entreprise