Contexte
Apply
Certains malwares perfectionnés utilisent le noyau pour se cacher et garder une persistance sur la victime. Ces malwares, potentiellement inconnu, sont difficile à détecter car leurs techniques sont complexes et variées. Dans ce contexte, le laboratoire de R&D de Sogeti ESEC est amené à analyser des systèmes d’exploitation Windows pour déterminer s'ils sont compromis par un malware.
SujetVous devrez développer un outil permettant d'analyser le noyau Windows afin d'identifier d'éventuelles interactions suspectes. L'outil travaillera en temps réel et n’utilisera pas de dump mémoire.
Le stage sera découpé en plusieurs étapes:
- État de l’art des techniques utilisées par des malwares en noyau
- Identification des comportements suspects
- Développement d’un outil permettant l’analyse
- Langages : Python / C / Assembleur
- Reverse Engineering : IDA, WinDbg
- Windows Internals
- Durée du stage : 6 mois environ
- Profil idéal : stage de fin d’étude
- Rootkits: Subverting the Windows Kernel de Greg Hoglund et Jamie Butler
- Practical Malware Analysis de Michael Sikorski et Andrew Honig
- Uroburos: the snake rootkit http://artemonsecurity.com/uroburos.pdf