Analyse dans le cas d’un binaire
1. Analyse de binaires développés en AutoItAutoIt
AutoIt est un langage de script. Les scripts AutoIt permettent d’automatiser des actions sous Windows. Ces scripts peuvent être compilés pour devenir des exécutables entièrement autonomes. L’avantage de ces binaires est qu’ils n’ont pas besoin d’utiliser un interpréteur AutoIt installé sur la machine où est exécuté le binaire.
Certains malwares sont développés avec AutoIt. Il est facile d’identifier les binaires compilés avec AutoIt car le compilateur ajoute la chaîne de caractères « This is a compiled AutoIt Script. » :
rootbsd@lab:~$ hd ccdd2ad254467516e0dd737216953d6b
[...]
00083880 49 00 53 00 45 00 00 00 4e 00 55 00 4c 00 4c 00 | I.S.E...N.U.L.L.|
00083890 00 00 00 00 00 00 00 00 54 68 69 73 20 69 73 20 | ........This is |
000838a0 61 20 63 6f 6d 70 69 6c 65 64 20 41 75 74 6f 49 |a compiled AutoI |
000838b0 74 20 73 63 72 69 70 74 2e 20 41 56 20 72 65 73 |t script. AV res |
000838c0 65 61 72 63 68 65 72 73 20 70 6c 65 61 73 65 20 | earchers please |
000838d0 65 6d 61 69 6c 20 61 76 73 75 70 70 6f 72 74 40 |e-mail avsupport@|
000838e0 61 75 74 6f 69 74 73 63 72 69 70 74 2e 63 6f 6d | autoitscript.com| ...