Introduction

Abstrait

Dans cette seconde partie, nous allons considérer les différentes phases ďune attaque à ľaide ďun code malveillant—auto-reproducteur ou non—, ou plus exactement, les différentes techniques de lutte anti-antivirale mises en œuvre pendant ces phases:

• - un code malveillant s’exécute à des fins ďinstallation dans le systéme et/ou de propagation vers ďautres systèmes (dans le cas ďun ver, par exemple). Des techniques de camouflage, ou plus généralement de furtivité, sont alors utilisées pour dissimuler les données du code et ses actions;

• - le code active une ou plusieurs charges finales (la ou les fonctions offensives du code). Là encore, la furtivité sert à cacher ces actions. Mais le blindage de code, destiné également à retarder (blindage léger) ou à interdire (blindage total) ľanalyse du code malveillant et la mise à jour des antivirus et autres logiciels de sécurité, sera également utilisé afin que la nature de ces actions restent secrètes; le code s’enterre dans le système, entre en dormance, en résidence et met en œuvre des mécanismes de persistance. Conjuguéc à ľutilisation des techniques de furtivité, là encore, la survie du programme et des actions, pendant cette phase critique, est assuréc en faisant également muter le code grâce à des techniques de polymorphisme et de métamorphisme;

• - enfin, dans ľéventualité où le code serait finalement capturé, le blindage compliquera ou interdira son analyse.