Frida : le couteau suisse de l’analyse dynamique multiplateforme

Magazine
Marque
MISC
Numéro
92
Mois de parution
juillet 2017
Domaines


Résumé

Depuis quelques années, Frida s’impose comme le framework d’analyse dynamique de code binaire pour PC, Mac et smartphones. Dans cet article, nous décrirons son architecture, son fonctionnement interne et son utilisation au travers d’un cas pratique.


 

Frida [FRIDA] est un outil d’analyse dynamique de code binaire extrêmement modulaire. Le fonctionnement général de Frida est le suivant : du code est injecté dans le processus à analyser, celui-ci peut alors manipuler l’état de la cible et dialoguer avec un processus maître extérieur.

De nombreux autres projets fonctionnent de manière similaire. L’intérêt de Frida se trouve dans sa modularité : chaque étape de la chaîne précédemment décrite peut être modifiée, réutilisée, réimplémentée. Grâce à cette modularité, Frida peut être utilisé avec des langages aussi variés que le C, Swift, Python, JavaScript, .NET ou QML et fonctionne sur iOS, Android, Linux, macOS, Windows et QNX.

1. Instrumentation dynamique de code binaire

1.1 Instrumentation

Avant de décrire Frida en détail, il est nécessaire de définir à quoi il sert, à savoir l’instrumentation dynamique de code binaire (ou DBI, pour Dynamic Binary Instrumentation dans...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Collecte d'artefacts en environnement Windows avec DFIR-ORC

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.

Antivirus, PowerShell et ORC pour le Live-Forensics

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

Traitement de courriels d’hameçonnage avec TheHive & Cortex

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Face au nombre toujours plus important d'alertes de sécurité à qualifier et d'incidents à traiter, il devient primordial pour un SOC ou une équipe CSIRT de mettre en œuvre des solutions permettant d’identifier les sujets prioritaires. L’actualité de ces derniers mois et l’accroissement du nombre de victimes de rançongiciels met en évidence le besoin de détecter et de réagir au plus vite. Cet article propose de montrer comment intégrer TheHive et Cortex au processus de détection et de réponse pour automatiser un certain nombre de tâches, et donc gagner du temps, toujours précieux dans ces situations.