{"id":15773,"date":"2016-06-21T17:57:29","date_gmt":"2016-06-21T16:57:29","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=15773"},"modified":"2021-05-02T17:58:39","modified_gmt":"2021-05-02T16:58:39","slug":"reverse-engineering-focus-sur-lanalyse","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/","title":{"rendered":"Reverse Engineering – focus sur l\u2019analyse dynamique de malware"},"content":{"rendered":"
\n
<\/div>\n<\/div>\n
L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Cette analyse permet alors de d\u00e9terminer le comportement r\u00e9el du malware<\/i>, l\u00e0 o\u00f9 certains \u00e9l\u00e9ments de l\u2019analyse statique peuvent \u00eatre pr\u00e9sents uniquement pour d\u00e9tourner l\u2019attention de l\u2019analyste, ou lui compliquer la t\u00e2che.<\/div>\n
\n
Une premi\u00e8re forme d\u2019analyse dynamique correspond \u00e0 l\u2019ex\u00e9cution du malware<\/i> et \u00e0 l\u2019observation des modifications qu\u2019il entraine sur le syst\u00e8me. Cette analyse a le plus souvent pour but de d\u00e9terminer les actions \u00e0 effectuer pour supprimer le malware<\/i>, et\/ou cr\u00e9er une signature.<\/div>\n<\/div>\n
\n
Attention, <\/span>ce type d\u2019analyse doit absolument \u00eatre fait dans un environnement contr\u00f4l\u00e9 (machine virtuelle, poste d\u00e9di\u00e9 et d\u00e9connect\u00e9 du SI, etc.) afin de ne pas risquer la propagation de l\u2019infection.<\/i><\/div>\n<\/div>\n

1)\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Analyse des op\u00e9rations<\/h2>\n
\n
L\u2019analyse dynamique permet la surveillance de nombreuses informations\u00a0: les registres, le syst\u00e8me de fichiers et les processus. <\/i>Cette \u00e9tape est au d\u00e9but assez fastidieuse \u00e9tant donn\u00e9 que de nombreuses informations sont accessibles. Il existe diff\u00e9rents outils permettant d\u2019acc\u00e9der \u00e0 ces informations. ProcessMonitor<\/i> est l\u2019un de ces outils qui a l\u2019avantage de permettre \u00e0 l\u2019analyste de filtrer ses recherches sur un ex\u00e9cutable, ce qui est tr\u00e8s pratique pour l\u2019analyse de malwares<\/i>.<\/div>\n
\n
\"\"<\/figure>\n<\/div>\n
\n
\n
<\/div>\n<\/div>\n

Figure 1 : R\u00e9sultat d\u2019une analyse de ProcessMonitor sur un malware appel\u00e9 mm32.exe<\/i><\/p>\n<\/div>\n<\/div>\n

\n
L\u2019analyse de ces diff\u00e9rents \u00e9l\u00e9ments permet \u00e0 l\u2019analyste d\u2019avoir une meilleure compr\u00e9hension de l\u2019activit\u00e9 du malware<\/i>. Cependant, \u00e9tant donn\u00e9 le nombre d\u2019informations renvoy\u00e9es par ProcessMonitor<\/i> dont la plupart repr\u00e9sentent des \u00e9v\u00e8nements standards du lancement d\u2019un ex\u00e9cutable, l\u2019analyse demande beaucoup de pratique et de la patience.<\/div>\n<\/div>\n
<\/div>\n
\n
Un autre outil permettant une analyse pouss\u00e9e des processus est Process Explorer<\/i>. Il permet de lister les processus, les biblioth\u00e8ques charg\u00e9es par un processus, diff\u00e9rentes informations sur ces processus, ainsi que des informations globales sur le syst\u00e8me. L\u2019avantage de cet outil est qu\u2019il pr\u00e9sente les informations sous forme d\u2019arbre, exposant ainsi les relations entre les processus parents et enfants.<\/div>\n<\/div>\n
\n
Les informations que Process Explorer<\/i> renvoie sont le nom du processus, le PID (num\u00e9ro d\u2019identification du processus), l\u2019utilisation du CPU, une description ainsi que le nom de l\u2019entreprise ayant cr\u00e9\u00e9 le binaire (champs laiss\u00e9s libres au cr\u00e9ateur du binaire\u2026). Par d\u00e9faut les services sont surlign\u00e9s en rose, les processus en bleu, les nouveaux processus en vert et les processus termin\u00e9s en rouge. La vue se met alors \u00e0 jour \u00e0 chaque seconde. Lors de l\u2019analyse de malware<\/i> il est donc int\u00e9ressant de rep\u00e9rer les diff\u00e9rents processus qui sont modifi\u00e9s ou cr\u00e9\u00e9s afin de pouvoir enqu\u00eater dessus de mani\u00e8re plus approfondie.<\/div>\n<\/div>\n
\n
\n
\"\"<\/figure>\n
<\/div>\n

Figure 2 : R\u00e9sultat de Process Explorer sur un ex\u00e9cutable<\/i><\/p>\n<\/div>\n<\/div>\n

\n
Ces techniques sont tr\u00e8s efficaces pour comprendre ce que fait un ex\u00e9cutable, mais il ne faut pas n\u00e9gliger leur utilit\u00e9 pour d\u00e9terminer si un document est malveillant ou non. Un moyen rapide de savoir si un PDF est malveillant, par exemple, est de lancer Process Explorer<\/i> puis d\u2019ouvrir le PDF et de regarder si de nouveaux processus sont cr\u00e9\u00e9s.<\/div>\n<\/div>\n
\n
Remarque\u00a0:<\/u> Pour l\u2019analyse de documents, il est souvent int\u00e9ressant d\u2019utiliser des versions intentionnellement non patch\u00e9es<\/i> des logiciels afin de s\u2019assurer que l\u2019attaque est efficace. Une bonne mani\u00e8re de faire cela est par exemple de cr\u00e9er plusieurs snapshots<\/i> d\u2019une machine virtuelle d\u2019analyse, chaque snapshot<\/i> ayant une version diff\u00e9rente, et g\u00e9n\u00e9ralement assez \u00e2g\u00e9e, des logiciels.<\/div>\n<\/div>\n
\n
Pour l\u2019analyse de registres, l\u2019outil Regshot<\/i> permet de comparer les registres sur deux snapshots <\/i>diff\u00e9rents. Un extrait de r\u00e9sultat de Regshot<\/i> peut ressembler \u00e0 la figure\u00a03.<\/div>\n<\/div>\n
\n
Dans ce r\u00e9sultat, le premier constat est la cr\u00e9ation d\u2019un m\u00e9canisme de persistance HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run<\/i> par le programme ckr.exe<\/i>, le deuxi\u00e8me est la modification <\/i>de la valeur de la seed<\/i> pour le g\u00e9n\u00e9rateur de nombre al\u00e9atoire, ce qui repr\u00e9sente un bruit habituel.<\/div>\n
\n
\"\"<\/figure>\n<\/div>\n<\/div>\n
\n
<\/div>\n

Figure 3 : Extrait de r\u00e9sultat de Regshot apr\u00e8s lancement du programme ckr.exe<\/i><\/p>\n<\/div>\n

<\/div>\n

2)\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Analyse r\u00e9seau<\/h2>\n
\n
De nombreux malwares<\/i> r\u00e9cup\u00e8rent des ressources ou transmettent des informations sur le r\u00e9seau (en particulier vers des serveurs C2 \u00ab\u00a0Command & Control\u00a0\u00bb). De ce fait il est tr\u00e8s int\u00e9ressant de r\u00e9aliser une analyse r\u00e9seau pour d\u00e9terminer les actions du malware<\/i>. L\u2019environnement d\u2019analyse n\u2019\u00e9tant pas connect\u00e9 \u00e0 internet, il se peut qu\u2019une partie des fonctionnalit\u00e9s du malware<\/i> restent non accessibles. Cependant il est pr\u00e9f\u00e9rable de r\u00e9cup\u00e9rer de telles informations en faisant une analyse manuelle approfondie plut\u00f4t que de permettre au malware<\/i> de se propager (une sortie directe vers Internet peut n\u00e9anmoins \u00eatre fortement utile aux \u00e9quipes d\u2019analyse).<\/div>\n<\/div>\n
\n
Quelques outils peuvent permettre d\u2019effectuer une analyse r\u00e9seau d\u2019un malware<\/i>\u00a0:<\/div>\n<\/div>\n
\n
    \n
  • ApateDNS<\/i> permet de r\u00e9cup\u00e9rer les requ\u00eates DNS faites par le malware<\/i>. Il permet \u00e9galement de simuler les r\u00e9ponses d\u2019une adresse IP sp\u00e9cifi\u00e9e en \u00e9coutant sur le port 53 de la machine locale via<\/i> le protocole UDP. Il affiche alors les requ\u00eates re\u00e7ues en hexad\u00e9cimal ou en ASCII. Par d\u00e9faut ApateDNS<\/i> utilise la passerelle (gateway<\/i>) ou les param\u00e8tres de DNS courants dans les r\u00e9ponses DNS.<\/li>\n<\/ul>\n<\/div>\n
    \n
    \"\"<\/figure>\n
    <\/div>\n

    Figure 4 : Interception des requ\u00eates DNS et simulation des r\u00e9ponses par ApateDNS en utilisant l\u2019IP 192.168.120.1<\/i><\/p>\n<\/div>\n

    <\/div>\n
    \n
      \n
    • Netcat<\/i> permet le scan de port, tunneling<\/i>, proxying<\/i>, transfert de ports et bien d\u2019autres choses sur des connections aussi bien entrantes que sortantes. Il existe deux modes de fonctionnement pour Netcat<\/i>, le mode \u00e9coute, pour lequel Netcat<\/i> agit comme un serveur, et le mode connexion pour lequel il agit comme un client.<\/li>\n<\/ul>\n<\/div>\n
      \n
      Remarque\u00a0:<\/u> les malwares<\/i> utilisent souvent les ports 80 et 443 (HTTP et HTTPS respectivement) car ces ports ne sont g\u00e9n\u00e9ralement pas bloqu\u00e9s par les diff\u00e9rents \u00e9quipements de s\u00e9curit\u00e9 sur le r\u00e9seau des entreprises (firewall, proxy, etc.).<\/div>\n<\/div>\n
      \n
      Remarque 2\u00a0:<\/u> certains malwares<\/i> simulent des connexions usuelles afin de cacher leur comportement et tirer parti d\u2019une m\u00e9connaissance de nombreux analystes r\u00e9seau qui ne se concentrent que sur le d\u00e9but d\u2019une session. Par exemple, en figure 5 le reverse shell RShell<\/i> est instanci\u00e9 avec une redirection du domaine www.google.com<\/i> vers l\u2019h\u00f4te local 127.0.0.1 \u00e0 l\u2019aide d\u2019ApateDNS<\/i>. L\u2019analyste \u00e9coute ensuite le trafic r\u00e9seau sur le port 80 local avec Netcat<\/i>.<\/div>\n<\/div>\n
      \n
      Dans ce r\u00e9sultat, RShell<\/i> simule une requ\u00eate POST \u00e0 www.google.com<\/i> (comme le montre le point 2 sur la figure) mais par la suite, l\u2019analyste r\u00e9cup\u00e8re bien un shell<\/i> (visible sur le point 3).<\/div>\n<\/div>\n
      \n
      \"\"<\/figure>\n
      <\/div>\n

      Figure 5 : R\u00e9sultat renvoy\u00e9 par Netcat lors de l\u2019ex\u00e9cution de RShell en redirigeant les requ\u00eates vers l\u2019h\u00f4te gr\u00e2ce \u00e0 ApateDNS<\/i><\/p>\n<\/div>\n

      \n
        \n
      • Wireshark<\/i> permet la capture de paquets et de cr\u00e9ation de logs pour le trafic r\u00e9seau. Il permet la visualisation, l\u2019analyse de trames et l\u2019analyse en d\u00e9tail de paquets individuels.<\/li>\n<\/ul>\n<\/div>\n
        \n
        <\/div>\n
        \"\"<\/figure>\n

        Figure 6\u00a0: Capture d\u2019\u00e9cran d\u2019une analyse Wireshark<\/i><\/p>\n<\/div>\n

        \n
        Une des fonctionnalit\u00e9s tr\u00e8s utiles de Wireshark<\/i> est la fonctionnalit\u00e9 Follow TCP stream<\/i> qui permet \u00e0 partir d\u2019un paquet de reconstituer le flot entier auquel il appartient.<\/div>\n<\/div>\n
        <\/div>\n
        \n
        \n
        \"\"<\/figure>\n<\/div>\n
        Figure 7 : Fonctionnalit\u00e9 Follow TCP Stream<\/i> de Wireshark<\/i><\/div>\n<\/div>\n
        \n
        Wireshark<\/i> peut permettre \u00e0 l\u2019analyste de comprendre comment le malware<\/i> r\u00e9alise ses communications r\u00e9seau.<\/div>\n<\/div>\n

        3)\u00a0\u00a0\u00a0\u00a0 <\/span><\/span>Analyse via d\u00e9bogueur<\/h2>\n
        \n
        \u00c9tape la plus complexe de l\u2019analyse, l\u2019analyse dynamique avanc\u00e9e correspond au passage de l\u2019ex\u00e9cutable dans un d\u00e9bogueur afin de d\u00e9terminer les actions qu\u2019il effectue les unes apr\u00e8s les autres, ainsi que les diff\u00e9rents \u00e9tats qu\u2019il g\u00e9n\u00e8re sur le poste analys\u00e9. Il existe plusieurs d\u00e9bogueurs utilisables pour cette \u00e9tape, notamment IDA Pro<\/i>, OllyDbg<\/i> et WinDbg<\/i>.<\/div>\n<\/div>\n
        \n
        Cette \u00e9tape est extr\u00eamement efficace mais n\u00e9cessite de nombreuses connaissances et beaucoup de temps. Dans cette partie sera pr\u00e9sent\u00e9 un aper\u00e7u de ce qu\u2019il est possible de faire avec un d\u00e9bogueur. Il est important de retenir que l\u2019analyse dynamique r\u00e9v\u00e8le ce que le malware<\/i> fait v\u00e9ritablement, contrairement \u00e0 l\u2019analyse statique qui montre ce que le malware<\/i> est en th\u00e9orie capable de faire. Certains bouts de code pr\u00e9sents dans le malware<\/i> peuvent en effet ne jamais \u00eatre appel\u00e9s, et les rep\u00e9rer durant l\u2019analyse statique peut induire en erreur l\u2019analyste sur l\u2019action du malware<\/i>.<\/div>\n<\/div>\n
        \n
        L\u2019utilisation d\u2019un d\u00e9bogueur permet \u00e9galement d\u2019obtenir des informations impossibles \u00e0 r\u00e9cup\u00e9rer avec un d\u00e9sassemblage, comme par exemple les valeurs prises par les registres au fur et \u00e0 mesure de l\u2019ex\u00e9cution.<\/div>\n<\/div>\n
        \n
        Il existe en fait deux types de d\u00e9bogueurs, ceux dits source-level<\/i> qui sont g\u00e9n\u00e9ralement int\u00e9gr\u00e9s dans les IDE<\/i> et bien connus des d\u00e9veloppeurs, leur permettant d\u2019agir sur le code source afin de d\u00e9terminer les comportements \u00e9tranges de leurs programmes, et ceux dits assembly-level<\/i> ou low-level<\/i> qui agissent sur le code assembleur. C\u2019est ce deuxi\u00e8me type de d\u00e9bogueur qui est utilis\u00e9 par les analystes de malware<\/i>, \u00e9tant donn\u00e9 qu\u2019ils n\u2019ont pas acc\u00e8s au code source de l\u2019application.<\/div>\n<\/div>\n
        \n
        De m\u00eame il existe deux niveaux de d\u00e9bogage, celui en mode utilisateur, o\u00f9 le d\u00e9bogueur est lanc\u00e9 sur le m\u00eame syst\u00e8me d\u2019exploitation que le programme en cours d\u2019ex\u00e9cution, et celui plus complexe en mode noyau, qui permet de d\u00e9boguer des applications ayant ce niveau d\u2019interactions, mais qui n\u00e9cessite deux machines reli\u00e9es, l\u2019une faisant tourner le programme, et l\u2019autre permettant le d\u00e9bogage. Une deuxi\u00e8me machine est en effet n\u00e9cessaire car il n\u2019existe qu\u2019un noyau par syst\u00e8me d\u2019exploitation, et si un breakpoint<\/i> est mis sur une instruction ex\u00e9cut\u00e9e par ce noyau, plus aucune application ne pourra r\u00e9pondre, le d\u00e9bogueur compris.<\/div>\n<\/div>\n
        \n
        Dans les deux cas d\u2019ex\u00e9cution, le r\u00e9sultat sera la mise en suspens du programme. Dans le premier cas le programme sera stopp\u00e9 d\u00e8s le point d\u2019entr\u00e9e (sauf configuration particuli\u00e8re) alors que dans le deuxi\u00e8me il sera arr\u00eat\u00e9 l\u00e0 o\u00f9 il se trouvait. Une fois cela effectu\u00e9, il est possible d\u2019agir de diff\u00e9rentes mani\u00e8res sur le programme :<\/div>\n
          \n
        • Avancer d\u2019une instruction (single-stepping<\/i>) : cette action est g\u00e9n\u00e9ralement utilis\u00e9e uniquement sur les passages identifi\u00e9s comme importants afin d\u2019obtenir des d\u00e9tails sur le fonctionnement comme les valeurs prises par les registres.<\/li>\n
        • Avancer d\u2019une fonction (Stepping-over<\/i>)\u00a0: cela peut permettre de passer des d\u00e9tails inutiles. Par exemple si le programme appelle la fonction LoadLibrary<\/i>, il n\u2019est pas n\u00e9cessaire de rentrer dans les d\u00e9tails de cette fonction.\u00a0<\/span><\/li>\n
        • Rentrer dans une fonction (Stepping-into<\/i>) : en opposition \u00e0 l\u2019action pr\u00e9c\u00e9dente, il peut parfois \u00eatre int\u00e9ressant de rentrer dans une fonction pour en comprendre les d\u00e9tails.<\/li>\n
        • Avancer jusqu\u2019au prochain breakpoint<\/i>\u00a0: pour cela il faut souvent placer un breakpoint<\/i> plus loin dans le code et relancer l\u2019ex\u00e9cution, le d\u00e9bogueur s\u2019arr\u00eatera automatiquement au breakpoint<\/i>.<\/li>\n
        • Modifier l\u2019ex\u00e9cution d\u2019un programme : par exemple pour \u00e9viter l\u2019appel \u00e0 une fonction, il est possible de mettre un breakpoint<\/i> sur cette fonction et, lorsque l\u2019interruption est lev\u00e9e, changer le pointeur d\u2019instruction \u00e0 apr\u00e8s son appel.<\/li>\n<\/ul>\n<\/div>\n
          \n
          Il existe trois types de breakpoints<\/i>\u00a0:<\/div>\n<\/div>\n
          \n
            \n
          • Les software breakpoints<\/i>\u00a0: ces points d\u2019arr\u00eat sont utilis\u00e9s pour faire en sorte que le programme s\u2019arr\u00eate lorsque l\u2019instruction sur laquelle ils sont plac\u00e9s est appel\u00e9e. Pour r\u00e9aliser cela, le d\u00e9bogueur remplace le premier octet de l\u2019instruction par 0xCC<\/i>, l\u2019instruction pour INT3.<\/li>\n<\/ul>\n
            \n
            \"\"<\/figure>\n<\/div>\n<\/div>\n
            \n
            <\/div>\n

            Figure 8 : Remplacement du premier octet de l\u2019instruction par 0xCC lors d\u2019un software breakpoint<\/i>.<\/p>\n<\/div>\n

            \n
              \n
            • Les hardware breakpoints<\/i>\u00a0: ils sont plac\u00e9s sur une adresse m\u00e9moire, et d\u00e9clench\u00e9s lorsque le programme tente d\u2019acc\u00e9der \u00e0 cette ressource. L\u2019avantage est qu\u2019ils ne d\u00e9pendent pas de la valeur pr\u00e9sente dans cette adresse m\u00e9moire, et qu\u2019ils interviennent \u00e0 l\u2019acc\u00e8s et non \u00e0 l\u2019ex\u00e9cution. N\u00e9anmoins ils n\u00e9cessitent des registres particuliers qui sont en nombre limit\u00e9s sur un syst\u00e8me.<\/li>\n<\/ul>\n<\/div>\n
              \n
                \n
              • Les conditional breakpoints<\/i>\u00a0: ce sont des software breakpoints<\/i> qui ne vont d\u00e9clencher l\u2019arr\u00eat que si une certaine condition est v\u00e9rifi\u00e9e. Cela peut par exemple \u00eatre utile si l\u2019on veut s\u2019arr\u00eater \u00e0 l\u2019appel d\u2019une fonction que si un certain param\u00e8tre est appel\u00e9.<\/li>\n<\/ul>\n<\/div>\n
                <\/div>\n
                \n
                Ces diff\u00e9rentes techniques d\u2019analyse dynamique viennent en compl\u00e9ment d\u2019une analyse statique.<\/div>\n<\/div>\n
                \n
                Il convient n\u00e9anmoins de prendre toutes les pr\u00e9cautions n\u00e9cessaires avant de se lancer dans une analyse de malware. Chaque r\u00e9sultat obtenu par les analystes doit \u00eatre contrev\u00e9rifi\u00e9 pour s\u2019assurer qu\u2019aucune technique anti-reverse n\u2019est mise en \u0153uvre dans le binaire.<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

                L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Cette analyse permet alors de d\u00e9terminer le comportement r\u00e9el du malware, l\u00e0 o\u00f9 certains \u00e9l\u00e9ments de l\u2019analyse statique peuvent \u00eatre pr\u00e9sents uniquement pour d\u00e9tourner l\u2019attention de l\u2019analyste, ou lui…<\/p>\n","protected":false},"author":1357,"featured_media":15790,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3854,3225,3853],"tags":[3904,664,265,3903],"coauthors":[3212],"class_list":["post-15773","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-deep-dive","category-ethical-hacking-indicent-response","category-how-to","tag-analyse-dynamique","tag-audit","tag-malware","tag-reverse-engineering"],"acf":[],"yoast_head":"\nReverse Engineering - focus sur l\u2019analyse dynamique de malware<\/title>\n<meta name=\"description\" content=\"L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Elle permet de d\u00e9terminer le comportement r\u00e9el du malware,\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Reverse Engineering - focus sur l\u2019analyse dynamique de malware\" \/>\n<meta property=\"og:description\" content=\"L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Elle permet de d\u00e9terminer le comportement r\u00e9el du malware,\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\" \/>\n<meta property=\"og:site_name\" content=\"RiskInsight\" \/>\n<meta property=\"article:published_time\" content=\"2016-06-21T16:57:29+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-05-02T16:58:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1378\" \/>\n\t<meta property=\"og:image:height\" content=\"1378\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Vincent Nguyen\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Vincent Nguyen\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\"},\"author\":{\"name\":\"Vincent Nguyen\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/836af2ef2be74699a7090c74f4465aa7\"},\"headline\":\"Reverse Engineering – focus sur l\u2019analyse dynamique de malware\",\"datePublished\":\"2016-06-21T16:57:29+00:00\",\"dateModified\":\"2021-05-02T16:58:39+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\"},\"wordCount\":2217,\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"keywords\":[\"analyse dynamique\",\"audit\",\"malware\",\"reverse engineering\"],\"articleSection\":[\"Cybersecurity & Digital Trust\",\"Deep-dive\",\"Ethical Hacking & Incident Response\",\"How to\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\",\"name\":\"Reverse Engineering - focus sur l\u2019analyse dynamique de malware\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"datePublished\":\"2016-06-21T16:57:29+00:00\",\"dateModified\":\"2021-05-02T16:58:39+00:00\",\"description\":\"L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Elle permet de d\u00e9terminer le comportement r\u00e9el du malware,\",\"breadcrumb\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"width\":1378,\"height\":1378,\"caption\":\"computer infection design, vector illustration eps10 graphic\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Reverse Engineering – focus sur l\u2019analyse dynamique de malware\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"name\":\"RiskInsight\",\"description\":\"The cybersecurity & digital trust blog by Wavestone's consultants\",\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\",\"name\":\"Wavestone\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"width\":50,\"height\":50,\"caption\":\"Wavestone\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/836af2ef2be74699a7090c74f4465aa7\",\"name\":\"Vincent Nguyen\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/author\/vincent-nguyen\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Reverse Engineering - focus sur l\u2019analyse dynamique de malware","description":"L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Elle permet de d\u00e9terminer le comportement r\u00e9el du malware,","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/","og_locale":"en_US","og_type":"article","og_title":"Reverse Engineering - focus sur l\u2019analyse dynamique de malware","og_description":"L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Elle permet de d\u00e9terminer le comportement r\u00e9el du malware,","og_url":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/","og_site_name":"RiskInsight","article_published_time":"2016-06-21T16:57:29+00:00","article_modified_time":"2021-05-02T16:58:39+00:00","og_image":[{"width":1378,"height":1378,"url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg","type":"image\/jpeg"}],"author":"Vincent Nguyen","twitter_misc":{"Written by":"Vincent Nguyen","Est. reading time":"11 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#article","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/"},"author":{"name":"Vincent Nguyen","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/836af2ef2be74699a7090c74f4465aa7"},"headline":"Reverse Engineering – focus sur l\u2019analyse dynamique de malware","datePublished":"2016-06-21T16:57:29+00:00","dateModified":"2021-05-02T16:58:39+00:00","mainEntityOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/"},"wordCount":2217,"publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg","keywords":["analyse dynamique","audit","malware","reverse engineering"],"articleSection":["Cybersecurity & Digital Trust","Deep-dive","Ethical Hacking & Incident Response","How to"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/","url":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/","name":"Reverse Engineering - focus sur l\u2019analyse dynamique de malware","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg","datePublished":"2016-06-21T16:57:29+00:00","dateModified":"2021-05-02T16:58:39+00:00","description":"L\u2019analyse dynamique d\u2019un fichier correspond \u00e0 analyser l\u2019ex\u00e9cution de ce fichier. Elle permet de d\u00e9terminer le comportement r\u00e9el du malware,","breadcrumb":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#primaryimage","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_78673393_Subscription_Monthly_M.jpg","width":1378,"height":1378,"caption":"computer infection design, vector illustration eps10 graphic"},{"@type":"BreadcrumbList","@id":"https:\/\/www.riskinsight-wavestone.com\/2016\/06\/reverse-engineering-focus-sur-lanalyse\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.riskinsight-wavestone.com\/en\/"},{"@type":"ListItem","position":2,"name":"Reverse Engineering – focus sur l\u2019analyse dynamique de malware"}]},{"@type":"WebSite","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","name":"RiskInsight","description":"The cybersecurity & digital trust blog by Wavestone's consultants","publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization","name":"Wavestone","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","width":50,"height":50,"caption":"Wavestone"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/836af2ef2be74699a7090c74f4465aa7","name":"Vincent Nguyen","url":"https:\/\/www.riskinsight-wavestone.com\/en\/author\/vincent-nguyen\/"}]}},"_links":{"self":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/users\/1357"}],"replies":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/comments?post=15773"}],"version-history":[{"count":3,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15773\/revisions"}],"predecessor-version":[{"id":15794,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15773\/revisions\/15794"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media\/15790"}],"wp:attachment":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media?parent=15773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/categories?post=15773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/tags?post=15773"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/coauthors?post=15773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}