Académique Documents
Professionnel Documents
Culture Documents
Prise de Notes
Prise de Notes
on vérifie avec exeinfo si le fichier n'est pas packé , s'il est packé on utlise
upx pour le depacké puis ensuite on
utilise strings -a -el malware.exe pour voir les strings ou floss malware.exe
pour voir les similiarités entre les malwares dans un fichier : ssdeep -lrpa
/folder
import hash(imphash) : est un hash qui permet de classifier les malwares , si deux
fichiers ont le même imphash cela
signifie qu'ils ont importé les mêmes librairies, même outils , même threat actor
dans certains cas..
rule suspicious_strings
{
strings:
$mz = {4D 5A}
$a = "Synflooding" ascii wide nocase
$b = "Portscanner" ascii wide nocase
$c = "Keylogger" ascii wide nocase
condition:
output:
suspicious_strings samples//spybot.exe
suspicious_strings samples//wuamqr.exe
token : 5d80b885349e81568716933
Analyse Statique :
1-File Type
2- Fingerprinting
3- Scanning
4- Extracting String
1-process monitoring
2-File system monitoring
3-Registry monitoring
4-Network monitoring