Skip to content

L'analyse statique montre une entropie élevée et presque aucun import ou chaîne lisible — l'échantillon semble packé. Que faites-vous ?

Réponse courte

Le packing masque le vrai code, donc une entropie élevée plus des imports absents est un signe qu'il faut dépaqueter — détectez le packer et dumpez l'image dépaquetée depuis la mémoire une fois le loader exécuté, puis analysez la vraie charge utile. Des chaînes illisibles sont une preuve d'évasion, pas de bénignité. Conclure à un faux positif ou renommer l'extension ignore un échantillon activement obfusqué. L'obfuscation elle-même est un fort indicateur malveillant à investiguer.

Cette question sépare les analystes qui comprennent l'évasion de ceux qui s'arrêtent au premier mur. Une entropie élevée et une table d'imports quasi vide ne sont pas une impasse : ce sont l'empreinte d'une obfuscation délibérée, qu'un analyste senior lit comme un signal pour creuser.

Pourquoi identifier et dépaqueter est correct

Les packers compressent ou chiffrent la vraie charge utile et ne laissent visible aux outils statiques qu'un petit stub (le loader). C'est précisément pourquoi vous voyez une entropie élevée et aucune chaîne ni import significatifs — le code réel ne se matérialise qu'à l'exécution. La bonne démarche est d'identifier le packer (motifs d'entropie, noms de sections, outils de détection de packer) puis de récupérer le code d'origine. Pour de nombreux packers, la voie la plus fiable est le dépaquetage dynamique : exécutez le loader dans votre labo isolé jusqu'à ce qu'il ait décompressé la charge en mémoire, puis dumpez l'image dépaquetée et reconstruisez la table d'imports pour la rendre analysable. Vos outils statiques opèrent alors sur le vrai binaire.

Pourquoi les autres options sont fausses

  • Conclure qu'il est bénin car les chaînes sont illisibles. Cela inverse la preuve. Un logiciel légitime est rarement packé au point de supprimer tous les imports ; un packing agressif est bien plus courant dans les malwares. L'illisibilité est suspecte, pas disculpante.
  • Le signaler comme faux positif. Un faux positif signifie que la détection était erronée. Ici, l'échantillon masque activement son comportement — l'opposé de bénin. Le clore laisse passer une vraie menace.
  • Renommer l'extension et relancer le scan. L'extension n'a rien à voir avec le contenu packé. Vous obtiendriez le même résultat et perdriez du temps, tandis que la charge obfusquée reste inexaminée.

Ce que recherchent les examinateurs

Le signal senior, c'est de traiter l'obfuscation comme une information : vous reconnaissez le packing, distinguez les packers grand public des protecteurs personnalisés et savez que dumper la mémoire après le loader bat la lutte statique contre le stub. Points bonus pour la reconstruction d'imports et les astuces anti-dépaquetage. Le jugement sondé est la persévérance : vous n'acceptez pas « je ne peux pas le lire » comme réponse quand le malware tente clairement de vous faire abandonner.

Questions de suivi probables

  • Comment distinguez-vous un packer grand public (UPX) d'un protecteur personnalisé ou commercial, et pourquoi cela change-t-il votre approche ?
  • Pourquoi dumper depuis la mémoire après l'exécution du loader est-il plus fiable que le dépaquetage statique pour de nombreux protecteurs ?
  • Une fois l'image dépaquetée obtenue, comment réparez-vous la table d'imports pour rendre le dump analysable ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.