Reverse Engineering

La skill memory-forensics sert à la capture de RAM et à l’analyse de dumps avec Volatility 3. Elle couvre le contexte d’installation, les workflows d’utilisation, l’extraction d’artefacts et le triage d’incident sur Windows, Linux, macOS et la mémoire de machines virtuelles.

protocol-reverse-engineering aide les agents à capturer, inspecter et documenter des protocoles réseau inconnus avec Wireshark, tshark, tcpdump et des workflows MITM. Idéal pour déboguer des échanges client/serveur personnalisés, analyser des PCAP et cartographier la structure des messages, le flux des requêtes et le sens des champs.

anti-reversing-techniques est une skill de rétro-ingénierie pour l’analyse de malware autorisée, les CTF, le triage de binaires packés et les audits de sécurité. Elle vous aide à repérer les mécanismes anti-debug, anti-VM, de packing et d’obfuscation, puis à choisir un workflow d’analyse pragmatique à l’aide de la skill principale et de la référence avancée.

binary-analysis-patterns est une skill de reverse engineering conçue pour interpréter le désassemblage x86-64, les conventions d’appel, les frames de pile et le flux de contrôle afin d’accélérer la revue de binaires et les travaux de Security Audit.

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

Guide d'extraction des artefacts mémoire avec Rekall pour analyser des images mémoire Windows. Découvrez les schémas d'installation et d'utilisation pour repérer les processus cachés, le code injecté, les VAD suspectes, les DLL chargées et l'activité réseau en investigation numérique.

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

analyzing-windows-prefetch-with-python analyse les fichiers Windows Prefetch (.pf) avec windowsprefetch pour reconstituer l’historique d’exécution, repérer les binaires renommés ou usurpés, et aider au triage d’incidents ainsi qu’à l’analyse de malwares.

analyzing-uefi-bootkit-persistence aide à enquêter sur la persistance au niveau UEFI, notamment les implants dans la mémoire flash SPI, la modification de l’ESP, les contournements de Secure Boot et les changements suspects des variables UEFI. Conçu pour le triage du firmware, la réponse à incident et le travail d’audit de sécurité autour de analyzing-uefi-bootkit-persistence, il fournit des indications pratiques, fondées sur des preuves.

analyzing-command-and-control-communication aide à analyser le trafic C2 de malware pour repérer le beaconing, décoder les commandes, cartographier l’infrastructure et soutenir les audits de sécurité, la chasse aux menaces et le triage de malware, avec des preuves basées sur des PCAP et des conseils de workflow concrets.