Sommaire

Collecte d’informations

1. Introduction

Avant d’analyser un malware, il est nécessaire de le trouver. Pour pouvoir l’identifier, il faut collecter diverses informations sur la machine potentiellement infectée. Pour une telle collecte, il est préférable de déconnecter le disque dur de la machine infectée pour le connecter sur une machine saine et travailler à partir de celle-ci. Il ne faut pas travailler sur la machine infectée, les malwares peuvent très bien altérer le fonctionnement de la machine et cacher des informations à l’analyste.

La collecte se fera directement sur le disque dur de la machine infectée. Sur ce disque dur, quatre choses sont intéressantes pour une analyse :

  • La base de registre (uniquement sous Windows).

  • Les journaux d’événements.

  • Les fichiers exécutés au démarrage.

  • Le système de fichiers.

2. Collecte et analyse de la base de registre Base de registre

La base de registre est une base de données utilisée par Windows. Elle contient tous les paramètres de configuration du système d’exploitation. Elle prend la forme d’un arbre. Chaque branche contient un ou plusieurs noms, puis un type par nom et une valeur pour chaque nom. La configuration de nombreux outils se trouve dans la base de registre. Par exemple, la configuration du fond d’écran se trouve dans la branche HKEY_CURRENT_USER\Control Panel\Desktop. Elle a pour nom Wallpaper, de type ...