Reverse Engineering

analyzing-android-malware-with-apktool est une skill d’analyse statique de malwares Android APK. Elle s’appuie sur apktool, jadx et androguard pour décompresser les applications, examiner les manifests et les permissions, reconstruire un code proche du source et extraire les API suspectes ainsi que les IOC pour l’analyse des malwares.

La skill exploitation de la désérialisation non sécurisée aide les testeurs d’intrusion autorisés à repérer des entrées sérialisées, à faire correspondre les cibles Java, PHP, Python et .NET, et à valider l’exploitabilité en toute sécurité. Elle fournit un cadre de travail, des indices de détection et des références d’outils pour des tests ciblés.

analyzing-malware-sandbox-evasion-techniques aide les analystes malware à examiner les comportements Cuckoo et AnyRun pour repérer les vérifications de timing, les artefacts de VM, les garde-fous liés à l’interaction utilisateur et l’allongement artificiel des délais d’exécution. Cette compétence est conçue pour un flux de travail d’analyse ciblé autour de analyzing-malware-sandbox-evasion-techniques dans le cadre de l’analyse malware, afin d’évaluer si un échantillon cherche à se cacher d’une sandbox.

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.

Compétence « extracting-config-from-agent-tesla-rat » pour l’analyse de malware : extraire la configuration .NET d’Agent Tesla, les identifiants SMTP/FTP/Telegram, les réglages du keylogger et les points de terminaison C2 avec un workflow reproductible.

analyzing-packed-malware-with-upx-unpacker est une skill d’analyse malware pour repérer les échantillons packés avec UPX, gérer les en-têtes UPX modifiés et récupérer l’exécutable d’origine pour une analyse statique dans Ghidra ou IDA. Utilisez-la lorsque `upx -d` échoue ou quand vous avez besoin d’un contrôle plus rapide du packer UPX et d’un flux de dépaquetage efficace.

analyzing-memory-dumps-with-volatility est une compétence Volatility 3 pour la criminalistique mémoire, le triage de malwares, l’analyse des processus cachés, des injections, de l’activité réseau et des identifiants dans des dumps RAM sous Windows, Linux ou macOS. Utilisez-la lorsque vous avez besoin d’un guide reproductible d’analyse de dumps mémoire avec Volatility pour la réponse à incident et l’analyse de malwares.

analyzing-malicious-pdf-with-peepdf est une compétence d’analyse statique de malwares pour les PDF suspects. Utilisez peepdf, pdfid et pdf-parser pour trier les pièces jointes de phishing, inspecter les objets, extraire du JavaScript ou du shellcode embarqué, et examiner en toute sécurité les flux suspects sans exécution.

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

analyzing-linux-elf-malware aide à analyser des binaires ELF Linux suspects dans le cadre d’une analyse de malware, avec des conseils pour vérifier l’architecture, extraire les chaînes, examiner les imports, faire un triage statique et repérer tôt des indices de botnets, de mineurs, de rootkits, de ransomwares et de menaces visant les conteneurs.