Sommaire

Image mémoire Image mémoire

1. Présentation

Lorsqu’un système d’exploitation est en fonctionnement, toutes les données qu’il traite sont stockées en mémoire. Il est possible de réaliser une image de l’état de la mémoire (appelé dump). Cette image peut ensuite être analysée. Contrairement à la collecte d’informations, la prise d’image mémoire doit se faire directement sur le système infecté en cours de fonctionnement.

Il y a de nombreux avantages à analyser la mémoire plutôt que la machine elle-même. Premièrement il est très ardu de cacher un malware lors d’un dump mémoire. Quelques preuves de concept existent, notamment par l’utilisation des registres DRX mais cela reste pour le moment anecdotique. Néanmoins un dump mémoire est bien plus difficile à tromper qu’un système, par exemple si un rootkit cachait l’existence d’un processus au gestionnaire de tâches, la mémoire nécessaire à ce processus serait tout de même en mémoire et il serait donc visible dans l’image de celle-ci. L’autre avantage est que les binaires sont vus en cours de fonctionnement.

Si un binaire cachait des chaînes de caractères, comme le nom de domaine de son C&C, dans le cas d’une image mémoire il y a de fortes chances que ces chaînes soient en clair. ...