Encyclopédie WildList Dossier : Virus Dossier : Antivirus

Analyse dynamique de malwares

L'Analyse dynamique de malwares (Dynamic Malware Analysis) observe le comportement actif des malwares lorsqu'ils s'exécutent dans un environnement confiné (Sandbox) par différenciation d'avec l'Analyse statique de malwares (Static Malware Analysis) qui est l'étude du code informatique des malwares "sur le papier".

L'Analyse dynamique de malwares (Dynamic Malware Analysis) observe le comportement de l'échantillon analysé tandis qu'il s'exécute dans un environnement confiné (Sandbox) ou un environnement dédié (Machine virtuelle).

Durant son exécution, des sondes notent tout ce que fait l'échantillon analysé (création de fichier, destruction de fichier, modification de fichier, modification de composants du système d'exploitation (installation d'un crochetage d'une fonction système (hook), modification du MBR (Master Boot Record), injection de code dans des pilotes (drivers), substitution d'un composant par un autre, hijack de certains réglages, ouverture (lecture) de fichiers, etc. ...), téléchargements de fichiers, envoie d'informations à l'extérieur, modification du Registre Windows, modification du contenu de la mémoire RAM, etc. ...

Une intervention humaine est possible avec l'aide d'un logiciel spécifique, appelé " debugger " (" débogueur ") qui permet de suivre pas à pas les instructions exécutées et les contenus des variables.

Certaines malveillances s'aperçoivent que l'on est en train de l'exécuter dans une Sandbox ou une Machine virtuelle et se tuent elles-mêmes ou n'exécutent pas leurs charges actives.

Les Sandbox utilisent l'une ou l'autre de ces analyses (Analyse statique de malwares (Static Malware Analysis) ou Analyse dynamique de malwares (Dynamic Malware Analysis). Les Sandbox les plus avancées utilisent les deux (Analyses hybrides).