Sommaire

Analyse statique Analyse:statique

1. Présentation

L’analyse statique consiste à analyser le code assembleur sans exécuter le binaire associé. Par cette méthode, il est possible d’analyser n’importe quel type de binaire sur n’importe quelle architecture. Il n’y a pas non plus de risque d’infection par le malware, celui-ci n’étant pas exécuté. Un second avantage de l’analyse statique est que justement elle ne dépend pas de l’exécution. Ainsi, la plupart des comportements du binaire peuvent être déduits statiquement, même ceux difficiles à observer par l’exécution. Par exemple, le comportement d’un Remote Access Tool dépend des commandes lancées par l’attaquant. Sans interaction de l’attaquant, il est difficile d’observer le comportement du RAT par son exécution. L’analyse statique n’est pas soumise à cette limitation.

Pour réaliser une analyse statique, il est nécessaire d’utiliser un désassembleur afin de décoder le code machine du malware en langage assembleur. Ce logiciel doit permettre de commenter les instructions, renommer les variables, les fonctions ou encore présenter une vue graphique du flux d’exécution. Le travail dans le cas d’une analyse statique consiste à commenter les instructions, à comprendre les fonctions ainsi que leurs arguments afin de pouvoir comprendre ...