Sommaire

Suivre l’exécution d’un binaire

1. Introduction

Afin d’évaluer ce que fait un binaire lors de son exécution, il peut être intéressant de suivre son activité pendant cette exécution. Attention, il est fortement recommandé d’exécuter le binaire dans une machine virtuelle dont on a précédemment fait un snapshot afin de pouvoir restaurer la machine dans son état initial.

Microsoft propose par le biais de ses sysinternals un outil permettant d’enregistrer l’activité d’un binaire pendant son exécution. Cet outil s’appelle Process Monitor. Il permet d’enregistrer l’activité au niveau de la base de registre, du système de fichiers et de la couche réseau. Process Monitor peut être téléchargé à l’adresse suivante : http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

En plus de Process Monitor pour surveiller l’activité d’un processus, il est également intéressant de faire des captures réseau complètes afin de voir si le binaire communique avec un serveur extérieur ou non. Et si des communications ont lieu, de pouvoir les analyser afin de voir si le protocole utilisé est un protocole connu ou si le malware utilise son propre protocole.

2. Activité au niveau de la base de registre Base de registre

Le lancement de Process MonitorProcess Monitor se fait en exécutant simplement ...