Product SiteDocumentation Site

11.5. Analyse des programmes malveillants (malware)

D'autres outils permettant l'analyse post mortem sont disponibles pour la distribution Debian : strace et ltrace.
L'un de ces paquets peut être utilisé pour analyser des binaires dangereux (comme des portes dérobées) afin de déterminer comment ils fonctionnent et ce qu'ils font au système. ldd (dans libc6), strings et objdump (tous deux dans binutils) font aussi partie des outils fréquemment utilisés.
Pour faire l'autopsie de binaires suspects ou contenant des portes dérobées récupérés d'un système compromis, vous devriez utiliser un environnement sécurisé (par exemple, dans une image bochs, xen ou un environnement chrooté en utilisant un compte ayant peu de droits[80]). Le système pourrait être victime de la porte dérobée et compromis à son tour si vous ne prenez pas garde !
Si vous êtes intéressé par les programmes malveillants, alors vous devriez lire le chapitre http://www.porcupine.org/forensics/forensic-discovery/chapter6.html du livre http://www.porcupine.org/forensics/forensic-discovery/ de Dan Farmer et Wietse Venema.


[80] Faites très attention si vous utilisez chroot, car si le programme utilise une faille de sécurité au niveau du noyau afin d'accroître ses droits, il pourrait tout de même réussir à compromettre le système.