Reverse

Développement Offensif Windows Intermédiaire - 5 jours

Description

De nos jours, les AV et EDR scannent agressivement les processus créés pour y détecter les intrusions, et Windows tente de se protéger via un nombre important de contre-mesures récemment introduites ( AppContainer, ProtectedProcess, AMSI ). C’est pourquoi il devient de plus en plus nécessaire pour un pentesteur de pouvoir se construire un outillage d’intrusion personnalisé sous Windows afin de passer sous le radar des solutions de sécurité lors de ses missions de Red Team.

Au cours de cette formation les élèves apprendront à utiliser les APIs bas niveau de Windows afin d'effectuer de manière furtive des opérations considérées comme hostiles sur le système ciblé. Ils apprendront aussi à manipuler les outils traditionnels de diagnostic système tel qu'un débuggeur applicatif dans le but de résoudre les problèmes inhérents au développement d'outils d'intrusions. Enfin ils seront exposés au modèle de sécurité de Windows et à la façon dont le système d'exploitation est architecturé du côté espace utilisateur.

  • 5 jours ( 35 heures )

  • 8h théorie / 27h pratique

Public et prérequis

L'introduction au développement d’outils d’intrusions personnalisés pour Windows est une formation de niveau intermédiaire conçue pour les pentesteurs, les développeurs sous Windows et les équipes de sécurité.

  • Pentesteurs

  • Développeurs Windows

  • Équipes sécurité

De bonnes connaissances en développement C et une bonne compréhension du modèle de mémoire associé sont recommandés.

Contenu

Jour 1

Présentation de l'environnement de travail. Introduction au format PE et aux moyens de diagnostics sous Windows, utilisation basique d'un debugger ( x64dbg et WinDBG ).

Jours 2 et 3

Toolchain Visual Studio, développement natif Windows ( win32 ), injection de code, persistance et hooking.

Jour 4

Exercices pratiques à partir d'un prototype de RAT, implémentation des techniques d'injection et de persistance.

Jour 5

Présentation du modèle de sécurité de Windows ( niveau d'intégrité, token, security descriptor, SID ) et compréhension des limites associées.