[FR] From corrupted memory dump to rootkit detection par Stéfan Le Berre
Durant ce talk nous parlerons d'analyse de dumps mémoires. Nous verrons qu'il est difficile d'obtenir une image mémoire propre d'un système quand elle est faite à chaud, mais explorerons des pistes pour tout de même réussir à travailler sur un dump corrompu. Après un rapide survol du format de crash-dump de Windows nous étudierons la pagination mémoire et les cas particuliers spécifiques à Windows. Une fois que nous réussirons à lire l'espace mémoire virtuel nous explorerons quelques structures importantes de Windows pour mener les débuts d'une investigation. Nous passerons ensuite à des méthodes génériques pour identifier la présence d'un code malveillant en noyau et l'appliquerons sur deux rootkits utilisés lors d'APT. Cette présentation a donc pour but de partir avec un dump mémoire corrompu pour finir avec l'identification d'un rootkit.