Skip to content

Comparez l'analyse statique et dynamique de malwares, en incluant les forces et limites de chacune.

Réponse courte

L'analyse statique examine un échantillon sans l'exécuter — hashes, chaînes, imports, en-têtes et désassemblage — donc elle est sûre et couvre tout, mais elle est déjouée par le packing et l'obfuscation. L'analyse dynamique détone l'échantillon dans un bac à sable isolé et observe le comportement réel — fichiers, registre, processus, réseau — ce qui perce l'obfuscation mais ne révèle que ce qui s'exécute dans cette session et peut être contourné par des malwares conscients du bac à sable. Les analystes combinent les deux.

Quand un fichier suspect arrive, un analyste a deux lentilles complémentaires : l'étudier au repos ou le regarder en action. Les recruteurs posent cette question pour évaluer si vous comprenez les compromis et si vous choisiriez la bonne technique — et si vous savez pourquoi aucune seule ne suffit.

Analyse statique — sans l'exécuter

L'analyse statique inspecte le fichier sans exécution, donc elle est sûre. Le travail statique de base extrait des hashes de fichier (pour vérifier la réputation en threat intel), des chaînes (URL, IP, clés de registre, messages d'erreur), l'en-tête PE/ELF et la table d'imports (quelles API laissent deviner les capacités — réseau, crypto, injection de processus). L'analyse statique avancée signifie désassemblage/décompilation (IDA, Ghidra) pour lire la logique du code. Sa force est la couverture — vous pouvez voir des chemins de code qui ne se sont jamais exécutés. Sa grande faiblesse est le packing et l'obfuscation : un binaire packé révèle peu jusqu'à ce qu'il se dépacke à l'exécution.

Analyse dynamique — le détoner

L'analyse dynamique exécute l'échantillon dans un bac à sable isolé (une VM avec supervision, instantanés, réseau simulé) et enregistre le comportement réel : fichiers écrits, modifications de registre/clés Run, processus lancés, injection, et rappels réseau (C2). Elle traverse directement le packing car le malware doit se dépacker pour s'exécuter. Limites : vous ne voyez que ce qui s'exécute dans cette session — un comportement conditionné par une date, une cible précise ou une réponse C2 reste caché — et les malwares modernes sont conscients du bac à sable, vérifiant les artefacts de VM, un faible temps de fonctionnement ou l'absence d'activité utilisateur, et refusant de se détoner.

Pourquoi c'est important

La réponse mature est les deux, de façon itérative : triage avec du statique rapide (hash, chaînes, imports), détonation dynamique pour le comportement, puis retour au désassemblage pour combler les lacunes. Nommer les forces (statique = couverture complète mais battu par l'obfuscation ; dynamique = comportement réel mais limité à la session et contournable) montre que vous comprenez le flux de travail, pas seulement les définitions.

Questions de suivi probables

  • Pourquoi le packing ou l'obfuscation nuit-il plus à l'analyse statique qu'à la dynamique ?
  • Quelles astuces un malware conscient du bac à sable utilise-t-il pour échapper à l'analyse dynamique ?
  • Quels indicateurs statiques de base tireriez-vous d'un échantillon en premier ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.