|
Le nombre d'IP (Instruction Pointer) PLT (Procedure Linkage Table) est lié au nombre de fonctions uniques appelées par un programme . Plus précisément, il s'agit d'une mesure utilisée dans l'analyse de sécurité, notamment dans le contexte de la détection de logiciels malveillants et de l'analyse binaire.
Chaque fois qu'un programme appelle une fonction depuis une bibliothèque partagée (comme celles du répertoire `/lib` d'un système Linux), l'appel passe généralement par le PLT. Le registre IP pointe vers l'instruction en cours d'exécution. Par conséquent, le suivi des pointeurs d'instructions (IP) uniques qui font référence au PLT fournit un indicateur de la variété et du nombre de fonctions utilisées par le programme.
Un nombre élevé d’adresses IP PLT peut suggérer :
* Utilisation de nombreuses bibliothèques : Un programme légitime utilisant un large éventail de fonctionnalités aura naturellement un nombre d’adresses IP PLT plus élevé.
* Techniques d'obscurcissement : Les auteurs de logiciels malveillants peuvent utiliser de nombreuses fonctions pour tenter d'échapper à la détection.
* Polymorphisme : Les logiciels malveillants peuvent charger et utiliser différentes fonctions de manière dynamique, entraînant un nombre d'adresses IP PLT fluctuant.
À l’inverse, un faible nombre d’IP PLT pourrait suggérer :
* Fonctionnalité limitée : Un programme simple ne peut utiliser que quelques fonctions.
* Attaque ciblée : Les logiciels malveillants peuvent se concentrer uniquement sur quelques fonctions spécifiques du système afin de minimiser leur empreinte.
Il est important de noter que le nombre d’adresses IP PLT ne constitue pas à lui seul un indicateur définitif d’une activité malveillante. Il ne s'agit que d'une information utilisée conjointement avec d'autres techniques d'analyse dynamique et statique pour évaluer le comportement et la menace potentielle d'un programme.
|
