Sommaire

Analyste du v Vecteur d’infectionecteur d’infection

1. Informations sur un fichier

a. Format d’un fichier

La première chose à faire avant d’analyser un sample est de savoir quel est le type de fichier à analyser. Le plus simple est d’utiliser la commande file suivie du fichier à analyser :

rootbsd@lab:~$ file fec60c1e5fbff580d5391bba5dfb161a  
fec60c1e5fbff580d5391bba5dfb161a: PE32 executable (GUI) Intel  
80386, for MS Windows

Cette commande utilise les en-têtes des fichiers pour déterminer leur type. Ces en-têtes sont appelés magic numbers. Par exemple, les fichiers exécutables Windows commencent par les deux lettres MZ, ainsi on peut reconnaître qu’un fichier est un exécutable Windows en comparant ses deux premiers octets avec cet en-tête MZ. Les en-têtes utilisés par la commande file sont disponibles dans un fichier inventaire généralement localisé dans /usr/share/misc/magic. Voici quelques exemples de magic numbers :

  • MZ : fichier au format executable Windows.

  • %PDF : fichier au format PDF.

  • GIF : fichier au format GIF.

  • CAFEBABE (en héxadecimal) : fichier contenant une classe Java.

  • PK : fichier au format ZIP.

YARA (https://plusvic.github.io/yara/) est un second outil libre permettant d’identifier le format d’un fichier mais aussi, dans le cas d’un fichier exécutable, de déduire le compilateur utilisé pour produire le binaire ou également ...