2.1.7. Détection par GScan

GScan permet de soumettre manuellement des fichiers afin qu'ils soient analysés.
Les options suivantes sont possibles :
  • Malware : soumet les fichiers au moteur Malcore
  • Powershell : scanne les fichiers contenant des scripts Powershell et détecter les potentielles menaces pouvant servir de porte d'entrée pour installer des logiciels malveillants sur Windows.
    En ce qui concerne les powershells malveillants, la détection se base sur un modèle de Machine Learning supervisé, et sur le fait que ces scripts utilisent généralement des techniques d'offuscation ou qui s'y apparentent (base64, concaténation, conversion de type, etc…).
  • Shellcode : soumet les fichiers afin qu'ils soient analysés par le moteur de détection Codebreaker.
Avant de lancer une analyse, il est nécessaire de cocher le type d'analyse à réaliser, voir ci-dessus.
Afin de lancer l'analyse d'un fichier, il suffit de glisser le fichier dans la zone `DRAG and DROP or CLICK TO SELECT YOUR FILES` ou de cliquer sur cette zone afin d'envoyer le fichier suspect.
Le résultat de l'analyse s'affiche alors dans une vignette avec le statut du fichier pour chaque type d'analyse choisi.
La page `SCAN HISTORY` permet d'afficher l'historique des analyses réalisées.

Note

Attention la taille maximale du fichier ne doit pas dépasser 10MB par défaut.
Il n'y a pas de limitation du nombre d'analyses de fichiers.

Concernant les fichiers compressés analysés par Malcore :

  • le nombre de fichiers contenus dans une archive est :

  • limité

  • modifiable (50 est la valeur par défaut)

  • le nombre de fois que le fichier est compressé est :

  • limité (niveau de récursivité max)

  • modifiable (5 est la valeur par défaut)

  • si les fichiers sont protégés par un mot de passe, celui-ci doit être déclaré dans les réglages globaux.

Ces réglages ne sont accessibles qu'aux membres du groupe administrator.
  • modifier si besoin la taille maximale des fichiers envoyés à Gscan (Mo)

  • modifier si besoin le niveau de récursion maximum pour les archives envoyées à Gscan

  • modifier si besoin le nombre maximum de fichiers d’archives envoyés à Gscan

L'interface graphique est décrite dans l'Ecran `GScan` de la web UI.
Pour la mise en œuvre, voir la Procédure de détection par Gscan.