Si vous souhaitez vous lancer dans de l'analyse de malware et ainsi comprendre ce que peut faire un fichier suspect dans un environnement Windows, je vous invite à tester Cuckoo Sandbox.

Il s'agit d'un système d'analyse fonctionnant en circuit fermé (sandbox) et capable de tracer les appels aux API et fonctions Windows, de connaitre et conserver les fichiers créés ou supprimés par le malware, d'enregistrer les états de la mémoire (dump) lors de l'infection, de choper les trames réseaux générées par la machine (domaines contactés, IP..etc.), et même de faire des captures-écrans durant l'exécution du malware.

Ensuite, Cuckoo est capable de pondre des rapports aux formats JSON, HTML...etc. et tout peut bien sûr être automatisé pour l'intégrer dans vos processus d'analyse et de reporting.

Pour ceux qui trouvent ça un peu abstrait, les créateurs de Cuckoo ont mis en ligne un site baptisé Malwr qui utilise Cuckoo, mais le présente sur un site accessible à tous et de manière totalement user-friendly. Vous pouvez donc aussi soumettre vos malwares directement à ce site et obtenir des analyses pointues.

Évidemment, cet outil sous licence libre s'adresse aux passionnés de sécurité informatique et de malwares. Si vous êtes curieux, Malwr fera l'affaire, sinon, si c'est juste pour voir si un fichier est vérolé ou non, vous pouvez toujours le passer à l'antivirus grâce au site VirusTotal.

Cet article merveilleux et sans aucun égal intitulé : Analysez vous-même des malwares avec Cuckoo Sandbox et Malwr ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.