Skip to content

Présentez-moi votre outillage de base pour l'analyse de malwares statique versus dynamique et quand vous utilisez chacun.

Réponse courte

L'outillage statique lit l'échantillon au repos : PEStudio, CFF Explorer et pefile pour les en-têtes et imports, FLOSS et strings pour le texte embarqué, capa pour la cartographie des capacités, et Ghidra ou IDA pour le désassemblage. L'outillage dynamique l'observe s'exécuter dans une VM isolée : Procmon et Process Hacker pour l'activité hôte, Wireshark et INetSim ou FakeNet pour le réseau simulé, Regshot pour les diffs avant/après, et x64dbg pour le pas-à-pas contrôlé. Le workflow consiste à trier statiquement, détoner dynamiquement, puis revenir au désassembleur pour combler les lacunes comportementales.

Les recruteurs posent cette question pour voir si vous vous êtes réellement assis devant des échantillons ou si vous avez seulement lu des choses sur l'analyse. Nommer des outils est facile ; expliquer pourquoi chacun mérite sa place dans le workflow, c'est ce qui distingue le praticien de celui qui récite.

Outillage statique — lire l'échantillon au repos

La première passe n'exécute jamais le fichier. Vous commencez par les hashs (pour interroger VirusTotal et la threat intel interne), puis un visualiseur PE — PEStudio, CFF Explorer, ou la bibliothèque Python pefile — pour lire les en-têtes, les noms de section et l'entropie, la table d'adresses d'imports, et les ressources embarquées. FLOSS complète le simple strings en décodant les chaînes de pile et obfusquées que strings statique manque. capa mappe les constructions de code à des comportements (« crée un service », « chiffre les données en RC4 ») en faisant correspondre des règles au désassemblage, vous donnant un résumé des capacités avant même de lire une seule instruction. Pour la logique en profondeur, vous ouvrez Ghidra (gratuit, scriptable) ou IDA Pro pour désassembler et décompiler.

Outillage dynamique — l'observer s'exécuter

À l'intérieur d'une VM isolée avec snapshots, vous instrumentez l'hôte et le réseau. Procmon capture les événements de fichier, de registre et de processus ; Process Hacker ou Process Explorer montrent les processus engendrés, les threads injectés et les handles ; Regshot compare le registre avant et après détonation. Pour le réseau, vous pointez l'échantillon vers un Internet simuléINetSim ou FakeNet-NG — et capturez avec Wireshark pour que le malware « parle » à son C2 sans atteindre d'infrastructure réelle. Lorsque le comportement est conditionné ou que vous devez voir le déchiffrement se produire, vous attachez x64dbg et avancez en pas-à-pas.

Le workflow

Triez statiquement, détonez dynamiquement, puis revenez au désassembleur avec les observations d'exécution comme carte. Un bon candidat insiste sur le fait que les outils sont complémentaires, pas concurrents.

Questions de suivi probables

  • Qu'apporte capa au-delà d'une simple revue de la table d'imports ?
  • Pourquoi simuler le réseau avec INetSim au lieu de laisser l'échantillon atteindre le vrai Internet ?
  • Quand basculeriez-vous dans x64dbg plutôt que dans un désassembleur statique ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.