Type d'analyse malwares: analyse statique, analyse dynamique, analyse de code,

analyse de la mémoire (memory forensics)

on vérifie avec exeinfo si le fichier n'est pas packé , s'il est packé on utlise
upx pour le depacké puis ensuite on

utilise strings -a -el malware.exe pour voir les strings ou floss malware.exe

pour voir les similiarités entre les malwares dans un fichier : ssdeep -lrpa
/folder

nous pouvons comparer le hash d'un malware à une liste de hashs

ssdeep * > all_hashes.txt

ssdeep -m all_hashes.txt malware.exe

import hash(imphash) : est un hash qui permet de classifier les malwares , si deux
fichiers ont le même imphash cela

signifie qu'ils ont importé les mêmes librairies, même outils , même threat actor
dans certains cas..

YARA est un outil de classification puissant de malwares.

rule suspicious_strings
{
strings:
$mz = {4D 5A}
$a = "Synflooding" ascii wide nocase
$b = "Portscanner" ascii wide nocase
$c = "Keylogger" ascii wide nocase
condition:

($mz at 0) and ($a or $b or $c)

}

exemple : yara -r suspicious.yara samples/

output:

suspicious_strings samples//spybot.exe
suspicious_strings samples//wuamqr.exe

token : 5d80b885349e81568716933

Analyse Statique :

1-File Type

2- Fingerprinting

3- Scanning

4- Extracting String

5- Determine File Obfuscation

6- Inspecting PE Headers

7- Comparing and Classifying malware

Différents types de monitoring dans une analyse dynamique:

1-process monitoring
2-File system monitoring
3-Registry monitoring
4-Network monitoring