Scribd
Importer
201 vues2 pages

td7 Corrige Reverse - Engineering Dynamique

Transféré par

Nesrine Djendouci
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
201 vues2 pages

td7 Corrige Reverse - Engineering Dynamique

Transféré par

Nesrine Djendouci
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Université Batna2

Chahid Mostefa Benboulaid


Faculté des sciences Département d’informatique TD Cyber Sécurité 2

TD7: Etude de malware (RE)


Exercice 1:

Q1. l'analyse d'un programme obfusqué peut être Q3. L'analyse dynamique s'effectue:
effectuée avec: a) Avant, pendant et après l'exécution du malware.
a) Une analyse dynamique. b) Pendant et après l'exécution du malware.
b) Une analyse statique. c) Uniquement après l'exécution du malware.
c) Une analyse du dump mémoire. d) Uniquement pendant l'exécution du malware.
d) Une analyse du disque dur.

Q2. L'analyse dynamique est une technique utilisée Q4. . L'analyse dynamique utilise les outils suivants:
pour: a) l'anti-virus.
a) Analyser un programme suspect sans l'exécuter. b) Wireshark.
b) Analyser un programme suspect en l'exécutant. c) Sandbox.
c) Trouver un malware sur une machine infectée. d) PEviewer
d) Trouver les traces laissées par un malware après
son exécution.

Exercice 2:

Ouvrez le fichier pdf de l'analyse dynamique avec JoeSandbox et répondez aux questions
suivantes:

1- Quel est le nom du fichier analysé ? Keylogger.exe

2 - Quelle est la machine utilisée pour faire ce test ?

Cette information peut nous servir si le programme ne fonctionne pas sur une machine ou
une autre.

3- Quel est le risque supposé par l'analyse sur la JoeSandbox ? Suspecious

4- Sur le graphique de classification par la Sandbox, Keylogger.exe a été classifié. Quel type
de logiciel malveillant s'agit-il ? Evador et Spyware

Pour information le vert signifie que le programme est sain, l'orange signifie que le
programme est suspicieux et rouge signifie que le programme est malveillant.

Evador: c'est un logiciel qui va essayer de passer outre les protections du système
d'exploitation (exemple: désactive les paramètres de sécurité). Utilise des outils anti-
reverse (exemple: utilise des outils anti-debugging). Obfusque son comportement ou ses
données.

5- Dans la partie signature, quelle est la signature qui a fait que ce programme a été
considéré comme suspect ? Que installe ce programme ?

Enseignante: Nesrine KHERNANE


Université Batna2
Chahid Mostefa Benboulaid
Faculté des sciences Département d’informatique TD Cyber Sécurité 2

 La signature : Key, Mouse, Clipboard, Microphone and Screen Capturing.


 Il installe un hook clavier.

6- En cliquant sur "Show sources" vous allez avoir plus d'informations sur chaque partie.
Quelles sont les informations que vous pouvez extraire de chaque partie des signatures
suivantes ?

a) C'est le programme Keylogger.exe qui a créé le hookclavier


b) Le lien ftp avec le fichier logs.txt
c) La clé de registre qui permet au programme de s'auto-lancer au démarrage de la
machine

Enseignante: Nesrine KHERNANE

Vous aimerez peut-être aussi