Analyse de malware — Méthodologie

Reverse Sandbox

Analyse statique vs dynamique

STATIQUE : analyser le binaire sans l exécuter
  file, strings, checksec, binwalk
  Ghidra/IDA pour désassembler
  PEStudio, Detect-It-Easy (DIE)

DYNAMIQUE : exécuter dans un environnement isolé
  Sandbox : any.run, hybrid-analysis, cuckoo
  Observer : processus créés, fichiers, réseau, registre
  Outils : Procmon, Process Hacker, Wireshark

Indicateurs de compromission (IOC)

# Types d IOC
Hash MD5/SHA256 du fichier
IPs / domaines C2
Chaînes de caractères uniques
Clés de registre créées
Noms de fichiers/services
Certificats TLS du C2

# Chercher des IOC sur VirusTotal
curl "https://www.virustotal.com/api/v3/files/HASH" -H "x-apikey: KEY"

Techniques d'évasion courantes

Obfuscation : code encodé en base64, XOR, ou chiffré · Packing : code compressé qui se décompresse en mémoire · Anti-debug : détection de Wireshark, VMs, debuggers · Living off the land : utiliser des outils Windows légitimes (certutil, powershell, wmic) pour éviter la détection AV