Incident de sécurité ? Suspicion de compromission ? 09 71 18 27 69csirt@synacktiv.com

Rechercher
Switch Language
Reverse

DMA Attacks Intermédiaire - 4 jours - 4200€ HT

Description

L'accès physique à une machine ouvre des vecteurs d'attaque conséquents, notamment via les accès directs à la mémoire (DMA). Ces attaques permettent à un composant matériel externe de lire et d'écrire directement dans la RAM de la cible, contournant ainsi le système d'exploitation, l'authentification et les protections logicielles classiques.

Au cours de cette formation de quatre jours, les participants découvriront l'architecture matérielle des systèmes modernes et apprendront à exploiter les connectiques (PCI Express, M.2, etc.) pour réaliser des dumps de mémoire. La formation couvre l'utilisation d'outils matériels spécifiques (PCIScreamer, USB3380) et le framework PCILeech pour injecter du code ou contourner des authentifications à la volée. Un pan important de la formation est également dédié à la rétro-ingénierie pour l'écriture de signatures personnalisées, ainsi qu'à l'analyse forensic des dumps mémoire à l'aide de Volatility.

  • 4 jours (28 heures)

  • Manipulation de matériel spécifique d'interception (PCIScreamer, USB3380)

  • Répartition équilibrée entre l'exploitation offensive (PCILeech) et l'analyse de mémoire (Volatility)

  • Exercices pratiques sur cibles Windows et Linux

Objectifs

  • Comprendre l'architecture matérielle et les concepts d'accès DMA
  • Connecter et utiliser des équipements de capture matériels (PCIScreamer, USB3380)
  • Contourner les mécanismes de sécurité système (BIOS, IOMMU) et les authentifications locales
  • Utiliser PCILeech pour manipuler la RAM et injecter des shellcodes
  • Rétro-ingénierier des mécanismes d'authentification pour écrire des signatures personnalisées
  • Réaliser des analyses forensic avancées sur des dumps mémoire avec Volatility

Public et prérequis

Cette formation s'adresse aux profils techniques cherchant à comprendre et exploiter les vulnérabilités matérielles liées aux accès mémoire physiques.

  • Pentesteurs / Red Teamers

  • Chercheurs en sécurité et développeurs bas niveau

  • Analystes Forensic et Réponse aux Incidents (CSIRT)

Une bonne connaissance de l'architecture des systèmes d'exploitation (Windows/Linux) et de la ligne de commande est requise. Des bases en rétro-ingénierie (utilisation basique d'IDA ou Ghidra) et en analyse de mémoire constituent un avantage significatif la réalisation des travaux pratiques.

Contenu

Jour 1

Architecture de l'ordinateur : périphériques, bus de données, composants clés, connectiques, types de RAM (fréquences, dual/triple channel). Concepts DMA : historique, types d'accès, vecteurs d'attaque modernes, connectiques hotplug. Mécanismes de sécurité : protections au niveau du BIOS/OS, détection de présence de sécurités (IOMMU). Contournement des protections : effacement du mot de passe BIOS (clear CMOS, mots de passe constructeur, bruteforce), vulnérabilités liées à l'IOMMU. Matériel de capture : présentation du PCIScreamer et de l'USB3380, méthodologie de connexion selon la cible, gestion des problèmes matériels (interférences, compatibilité). Labs : réalisation de dumps physiques de la mémoire vive via PCI Express, M.2 et USB3380.

Jour 2

PCILeech : fonctionnement interne et utilisation de l'outil. Exploitation : extraction de la RAM, manipulation de la mémoire, contournement d'authentification à la volée, injection de shellcode kernel. Rétro-ingénierie (Signatures) : présentation des mécanismes d'authentification Windows et Linux, identification des structures à modifier. Outils d'analyse : introduction à IDA/Ghidra pour analyser et patcher ces mécanismes. Labs : écriture d'un fichier de signature (.sig) personnalisé pour contourner avec succès l'authentification d'un système Linux cible.

Jour 3

Post-exploitation classique : dump de disques physiques depuis un accès administrateur (Linux/Windows), limites techniques. Analyse de la RAM : introduction au framework Volatility (v2 vs v3), installation, fonctionnement interne, génération de profils/images pour différents OS. Reconnaissance : méthodes pour déterminer la version et le type de Linux (via le réseau, via un dump mémoire). Labs : réalisation d'un dump de disque depuis des accès Linux et Windows, analyse d'un dump de RAM Windows avec Volatility (traque et recherche de processus malveillants).

Jour 4

Approfondissement Volatility : réveil pédagogique, rappels sur la génération complexe de fichiers images (profils d'OS). Labs d'investigation : fingerprinting complet d'OS (réseau et mémoire), création de A à Z d'un fichier de signature Volatility pour une cible Linux spécifique, analyse approfondie d'un dump de RAM Linux pour identifier un processus malveillant persistant. Conclusion : synthèse des points clés et des vecteurs d'attaque. Évolution des défenses : points à surveiller chez les éditeurs, déploiement de DMA Guard, intégration native et systématisation de l'IOMMU dans Windows.

Toutes les modalités de déroulement de la formation sont détaillées sur cette page.

Contact us

N'hesitez pas à nous contacter afin de nous faire part de vos besoins. Notre équipe commerciale se tient à votre disposition pour répondre à toutes vos questions.

Contactez-nous

Nous contacter

01 45 79 74 75
contact@synacktiv.com
Clé GPG

PARIS

5 boulevard Montmartre
75002 Paris

TOULOUSE

4 Rue du Pont Guilhemery
31000 Toulouse

LYON

56 rue Smith
69002 Lyon

RENNES

7D Rue de Châtillon
35000 Rennes

LILLE

7 Boulevard Louis XIV
59000 Lille

BORDEAUX

4/6 Cours de l'Intendance
33000 Bordeaux
Copyright © Synacktiv 2026