Skip to content

Citez les moyens courants par lesquels un malware persiste sur un hôte Windows entre les redémarrages, et comment vous les traqueriez.

Réponse courte

La persistance est la façon dont un malware survit aux redémarrages et aux déconnexions. Les incontournables sous Windows sont les clés Run/RunOnce du registre (HKLM et HKCU), les tâches planifiées et les services Windows, plus les dossiers de démarrage, les abonnements aux événements WMI et le détournement de DLL. On les traque avec autoruns/Sysinternals, Sysmon et les journaux d'événements — en cherchant des binaires non signés, des chemins étranges comme %AppData% et des entrées créées juste après la compromission initiale.

La persistance est la réponse de l'attaquant à « que se passe-t-il quand la machine redémarre ? ». Si l'implant ne peut pas survivre à un redémarrage ou à une déconnexion, l'intrusion meurt. Les recruteurs posent cette question pour voir si vous savez où les attaquants se cachent et, tout aussi important, où vous chercheriez lors d'une chasse ou d'une réponse à incident.

Les mécanismes incontournables

  • Clés Run du registre...\CurrentVersion\Run et RunOnce sous HKLM (s'exécute pour chaque utilisateur, nécessite l'admin) et HKCU (s'exécute à l'ouverture de session de cet utilisateur). Simples, courantes et faciles à inspecter.
  • Tâches planifiées — créées via schtasks ou le Planificateur de tâches ; peuvent s'exécuter à l'ouverture de session, sur minuterie ou sur événement, souvent sous SYSTEM. Stockées sous C:\Windows\System32\Tasks.
  • Services Windows — enregistrés sous ...\Services ; les services à démarrage automatique se lancent au boot avec des privilèges élevés, ce qui les rend attrayants pour des points d'ancrage durables.

Au-delà, surveillez le dossier de démarrage, les abonnements permanents aux événements WMI (sans fichier et furtifs), le détournement de l'ordre de recherche des DLL et les « image hijacks » d'accessibilité/IFEO. MITRE ATT&CK en catalogue des dizaines sous la tactique Persistence.

Comment traquer

Établissez la référence de ce qui devrait démarrer automatiquement, puis cherchez les écarts. Sysinternals Autoruns énumère pratiquement tous les emplacements d'autostart et signale les entrées non signées. Sysmon journalise la création de processus, les modifications du registre et les installations de services ; corrélez avec les journaux Security/System (par ex. les événements d'installation de service). Drapeaux rouges : binaires exécutés depuis %AppData%, %Temp% ou C:\Users\Public, noms de fichiers aléatoires, exécutables non signés, et entrées créées dans la même fenêtre que la compromission initiale.

Pourquoi c'est important

Une solide réponse cite les trois grands (clés Run, tâches planifiées, services), note la différence de privilège/portée HKLM vs HKCU, mentionne des options plus furtives comme WMI, et explique l'approche de chasse. Cela démontre que vous savez à la fois trouver un point d'ancrage et raisonner sur la manière dont un attaquant pense la durabilité.

Questions de suivi probables

  • Quelle est la différence de portée entre une clé Run HKLM et une clé HKCU ?
  • Pourquoi les abonnements aux événements WMI sont-ils une méthode de persistance plus furtive ?
  • Quels ID d'événements Sysmon aident à détecter de nouveaux services ou tâches planifiées ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.