Encyclopédie

Analyse statique de malwares

L'Analyse statique de malwares (Static Malware Analysis) est l'étude du code informatique des malwares, par différenciation d'avec l'Analyse dynamique de malwares (Dynamic Malware Analysis) qui observe le comportement actif des malwares lorsqu'il s'exécute dans un environnement confiné (Sandbox).

L'Analyse statique de malwares (Static Malware Analysis) observe le code, détecte diverses routines auxquelles il fait appel (liens créés à des ressources externes lors de la phase de post compilation dite "Édition des liens" (link edit), routines internes, etc. ... et peut en conclure automatiquement la présence de certaines fonctionnalités. Par exemple, la présence de codes donnant des fonctionnalités SMTP peut laisser supposer que l'échantillon analysé fait sortir de l'information collectée vers un serveur, en utilisant le protocole SMTP, ou est utilisé pour envoyer des spams à l'insu de l'utilisateur.

L'Analyse statique de malwares (Static Malware Analysis) passe aussi par la décompilation du code binaire (Reverse Engineering - Rétroingénierie - Rétroconception - Ingénierie inversée - Ingénierie inverse) et sa réécriture en un langage un peu plus compréhensible par un humain (l'assembleur) (utilisation de logiciels de désassemblage comme IDA-Pro).

A partir de là, l'humain peut analyser en détail ce que fait le code, comment il le fait, et les intentions de son concepteur. Cela permet, en analyse de malveillances (malwares), de développer un moyen approprié de lutter contre la malveillance.

Les Sandbox utilisent l'une ou l'autre de ces analyses (Analyse statique de malwares (Static Malware Analysis) ou Analyse dynamique de malwares (Dynamic Malware Analysis). Les Sandbox les plus avancées utilisent les deux (Analyses hybrides).