E. Définition, La classe des formules ? 0 peut être construite de la manière suivante : 1. ?x, y, z, (x, y) = z ? ? 0 , ? x (y)

F. Si, alors les formules ?x ? y : F et ?x ? y : F

E. Définition, 4 (Formules, ensembles ? n , ? n )

>. Soit-n, Un préfixe ? n est un préfixe qui comence par ? et comporte n ? 1 alternances. Une formule ? n est une formule de préfixe ? n . Un ensemble est ? n s'il est exprimé par une formule ? n

>. Soit-n, Un préfixe ? n est un préfixe qui comence par ? et comporte n ? 1 alternances. Une formule ? n est une formule de préfixe ? n . Un ensemble est ? n s'il est exprimé par une formule ? n

E. Proposition, 3 Les fonctions semi-calculables ou partielles récursives correspondent aux relations fonctionnelles ? 1 . Les formules ? 1 expriment les ensembles récursivement énumérables ou semi-décidables

E. Définition, 5 (Ensemble ? n -complet, ? n -complet)

E. Définition, Interprétation d'une expression booléenne) On appelle interprétation toute application ? de X dans {0, 1}. On prolonge ? à l'ensemble des expressions booléennes de la manière suivante : ? ? (0) = 0, ? (1) = 1, ? (¬F ) = 1

E. Définition, Satisfaction et consistance d'un ensemble d'expressions booléennes) Soit F un ensemble d'expressions booléennes sur X . On dit que l'interprétation ? satisfait F, si pour tout F ? F on a ? (F ) = 1. On dit que F est consistant s'il existe une interprétation qui satisfait F

E. Définition, 4 (Littéral, disjonction élémentaire, conjonction élémentaire) On appelle littéral, toute expression de la forme x ou x

E. Définition, 5 (Clause, clause minimale) Soit F une expression booléenne non constante. On dit qu'une disjonction élémentaire C est une clause de F si, pour toute interprétation ? , ? (C)

E. Définition, 6 (Impliquant, impliquant minimal) Soit F une expression booléenne non constante. On dit qu'une conjonction élémentaire I est un impliquant de F si, pour toute interprétation ? , ? (I)

E. Définition, 7 (Forme normale disjonctive , Forme normale conjonctive) Soit F une expression booléenne . On appelle forme normale conjonctive de F la conjonction de ses clauses minimales

E. Définition, 8 (Problème SAT) Une instance du problème SAT est une expression booléenne F sur l'ensemble fini de variables X . La question est de savoir s'il existe une interprétation ? qui satisfasse F

E. Définition, Problème k-SAT) Une instance du problème k-SAT est un ensemble de clauses C sur l'ensemble fini de variables X où chaque clause est formée d'exactement k littéraux. La question est de savoir s'il existe une interprétation ? qui satisfasse

E. Théorème, 10.2 Pour k ? 3, le problème k-SAT est NP-complet

. [. Bibliographie, M. J. Aho, B. Corasick, J. Anckaert, B. Cappaert et al., Efficient string matching : an aid to bibliographic search On the Effectiveness of Source Code Transformations for Binary Obfuscation Ajtai and C. Dwork. A public-key cryptosystem with worst-case/average-case equivalence, Proceedings of the International Conference on Software Engineering Research and Practice (SERP06) Proceedings of the twenty-ninth annual ACM symposium on Theory of computing, pp.333-340, 1975.

. Acm-new-york, U. Ny, ]. J. Adj06, R. Aycock, and M. Jacobson, Anti-disassembly using Cryptographic Hash Functions, Constructing Symmetric Ciphers Using the CAST Design Procedure. Designs, Codes and Cryptography Journal in Computer VirologyAdl90] L. Adleman. An abstract theory of computer viruses. In Lecture Notes in Computer Science, pp.283-316, 1990.

A. F. Apap, S. Honig, E. Hershkop, S. J. Eskin, S. J. Stolfo-adams et al., Detecting Malicious Software by Monitoring Anomalous Windows Registry Accesses A model for self-modifying code, Proceedings of LISA. Springer Practical S box designAMD06] B. Anckaert, M. Madou, and K. DeBosschere Proceedings of the 8th Information Hiding Conference, 1999.

S. Mcghee, S. Ataluri, M. Stampasp08, . Aspack, /. Aspack et al., Hunting for metamorphic engines Designing S-boxes for ciphers resistant to differential cryptanalysis The Development of a Common Enumeration of Vulnerabilities and Exposures. Recent Advances in Intrusion Detection Ttanalyze : A tool for analyzing malware, Journal in Computer Virology Proceedings of the 3rd Symposium on State and Progress of Research in Cryptography Qemu project home pageBB02] E. Barkan and E. Biham. In how many ways can you write Rijndael Proceedings of Asiacrypt, pp.181-190, 1987.

E. [. Beaucamps, O. Filiol, H. Billet, C. Gilbert, and . Ech-chatbi, On the possibility of practically obfuscating programs towards a unified perspective of code protection Cryptanalysis of a white box AES implementation, Proceedings of the USENIX Annual Technical Conference, FREENIX Track Selected Areas in Cryptography Vadhan, and K. Yang. On the (im) possibility of obfuscating programs. In Lecture Notes in Computer Science, pp.41-46, 2004.

. [. Springer, G. Brubacher, . U. Hunt, C. Bayer, E. Kruegel et al., Detours : Binary Interception of Win32 Functions What HMMs Can Do TTAnalyze : A Tool for Analyzing Malware Toward an abstract computer virology On Abstract Computer Virology from a Recursion Theoretic Perspective An implementation of morphological malware detection A machine-independent theory of the complexity of recursive functions Runtime packers : The hidden problem Detecting Self-Mutating Malware Using Control Flow Graph Matching A personal view on the future of Zero-day Worm Containment (slides) Cryptographic properties of Boolean functions and S-boxes An introduction to Windows memory forensic Raide : Rootkit analysis identification elimination, Proceedings of the 3rd USENIX Windows NT SymposiumCatch the Hookers. Black Hat USA 15th Annual Conference of the European Institute for Computer Antivirus Research (EICAR) Lecture Notes in Computer Science Journal in Computer Virology Proceedings of the 17th EICAR Conference Borello and L. Mé. Code obfuscation techniques for metamorphic viruses Proceedings of the Conference on Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA)Bru05] N. Brulez. Anti Reverse Engineering Uncovered. 2005. [Bur05] M. Burdach. idetect, procenum and wmft toolsBur06d] M. Burdach. Finding Digital Evidence In Physical MemoryCAF07] CAFE. Mcafee virusscan 8.5i and epolicy orchestrator 3.6.1 validation report, pp.135-143, 1967.

]. A. Can01 and . Canteaut, Cryptographic functions and design criteria for block ciphers, Proceedings of INDO- CRYPT, 2001.

]. A. Can02 and . Canteaut, Cryptanalyse des chiffrements à clef secrète par blocs, Journal de la sécurité informatique MISC, issue.2, 2002.

]. H. Car06b and . Carvey, Reassembling an image file from a memory dump, 2006.

]. P. Cc77a, R. Cousot, and . Cousot, Abstract interpretation : a unified lattice model for static analysis of programs by construction or approximation of fixpoints, Proceedings of the 4th ACM SIGACT- SIGPLAN symposium on Principles of programming languages, pp.238-252, 1977.

]. P. Cc77b, R. Cousot, and . Cousot, Towards a universal model for static analysis of programs, 1977.

R. [. Cousot and . Cousot, Systematic design of program analysis frameworks, Proceedings of the 6th ACM SIGACT-SIGPLAN symposium on Principles of programming languages , POPL '79, pp.269-282
DOI : 10.1145/567752.567778

R. [. Cousot and . Cousot, A Case Study in Abstract Interpretation Based Program Transformation Blocking Command Elimination, Electronic Notes in Theoretical Computer Science, pp.41-64, 2001.

R. [. Cousot and . Cousot, Systematic design of program transformation frameworks by abstract interpretation, Proceedings of the 29th ACM SIGPLAN-SIGACT symposium on Principles of programming languages, pp.178-190, 2002.

[. Ccevs, Us government protection profile anti-virus applications for workstations in basic robustness environments, version 1.0, 6 january, 2005.

[. Ccevs, Us government protection profile anti-virus applications for workstations in basic robustness environments, version 1, 2006.

[. Ccevs, Us government protection profile anti-virus applications for workstations in basic robustness environments, version 1, 2007.

]. S. Cejvo02a, P. Chow, H. Eisen, P. C. Johnson, and . Van-oorschot, A White-Box DES Implementation for DRM Applications, Proceedings of Digital Rights Management Workshop, pp.1-15, 2002.

]. S. Cejvo02b, P. Chow, H. Eisen, P. C. Johnson, and . Van-oorschot, White-Box Cryptography and an AES Implementation, Proceedings of the Ninth Workshop on Selected Areas in Cryptography, 2002.

O. [. Canetti, S. Goldreich, and . Halevi, The random oracle methodology, revisited, Journal of the ACM, vol.51, issue.4, pp.557-594, 2004.
DOI : 10.1145/1008731.1008734

]. N. Cho56 and . Chomsky, Three models for the description of language. Information Theory, IEEE Transactions on, vol.2, issue.3, pp.113-124, 1956.

]. C. Cif96 and . Cifuentes, Interprocedural dataflow decompilation, Journal of Programming Languages, vol.4, issue.2, pp.77-99, 1996.

]. E. Cin75 and . Cinlar, Introduction to Stochastic Processes, 1975.

S. [. Christodorescu and . Jha, Static Analysis of Executables to Detect Malicious Patterns, Proceedings of the 12th USENIX Security Symposium, pp.169-186, 2003.

S. [. Christodorescu and . Jha, Testing malware detectors, ACM SIGSOFT Software Engineering Notes, vol.29, issue.4, pp.34-44, 2004.
DOI : 10.1145/1013886.1007518

URL : http://cecs.wright.edu/cop/cybw/Christodorescu_Mihai_.pdf

M. Christodorescu, S. Jha, J. Kinder, S. Katzenbeisser, and H. Veith, Software transformations to improve malware detection, Journal in Computer Virology, pp.253-265, 2007.
DOI : 10.1007/s11416-007-0059-8

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=

. Cjs-+-05-]-m, S. Christodorescu, . Jha, D. Seshia, R. Song et al., Semantics-aware malware detection. Security and Privacy, IEEE Symposium on Security & Privacy, pp.32-46, 2005.

. Ckj-+-05-]-m, J. Christodorescu, S. Kinder, S. Jha, H. Katzenbeisser et al., Malware normalization, 1539.

. Cloakware, Cloakware Security Suite, 2007.

G. [. Collberg, A. Mylesm, and . Huntwork, Sandmark - A tool for software protection research, IEEE Security & Privacy Magazine, vol.1, issue.4, 2003.
DOI : 10.1109/MSECP.2003.1219058

]. F. Coh86 and . Cohen, Computer Viruses, 1986.

]. P. Cou02 and . Cousot, Constructive design of a hierarchy of semantics of a transition system by abstract interpretation, Theoretical Computer Science, pp.47-103, 2002.

E. [. Charpin and . Pasalic, On Propagation Characteristics of Resilient Functions, Selected Areas in Cryptography, pp.175-195, 2002.
DOI : 10.1007/3-540-36492-7_13

URL : https://hal.archives-ouvertes.fr/inria-00072051

J. [. Cover and . Thomas, Elements of information theory, 1991.

C. [. Collberg, D. Thomborson, and . Low, A taxonomy of obfuscating transformations, 1997.

S. [. Chess and . White, An undetectable computer virus, Proceedings of the, 2000.

. Datarescue, Using the Universal PE Unpacker Plug-in included in IDA Pro 4.9 to unpack compressed executables, 2005.

. Datarescue, Using the IDA debugger to unpack an hostile PE executable, Dat07] DataRescue. IDA Pro, 2006.

E. [. Detoisien and . Dotan, Cheval de Troie furtif sous Windows : mécanismes d'injection de code, Journal de la sécurité informatique MISC, issue.10, 2003.

S. [. Dabosville and . Josse, Protection des logiciels contre la rétro-ingénierie, Proceedings of the C&ESAR 2007 Conference, 2007.

M. D. Preda, M. Christodorescu, S. Jha, and S. Debray, A semantics-based approach to malware detection, Proceedings of the 34th annual ACM SIGPLAN-SIGACT symposium on Principles of programming languages, pp.377-388, 2007.

[. Preda and R. Giacobazzi, Semantic-based code obfuscation by abstract interpretation, Lecture notes in computer science, pp.1325-1336, 2005.

M. D. Preda, M. Madou, K. Debosschere, and R. Giacobazzi, Opaque Predicates Detection by Abstract Interpretation, Algebraic Methodology and Software Technology, pp.81-95, 2006.

R. [. Dullien and . Rolles, Graph-Based Comparison of Executable Objects, Symposium sur la Securite des Technologies de l'Information et des Communications (SSTIC'05), 2005.

S. [. Dawson and . Tavares, An Expanded Set of S-box Design Criteria Based on Information Theory and its Relation to Differential-Like Attacks, Proceedings of EUROCRYPT'91 : Advances in Cryptology, pp.352-367, 1991.
DOI : 10.1007/3-540-46416-6_30

]. L. Duf07 and . Duflot, Contribution à la sécurité des systèmes d'exploitation et des microprocesseurs, 2007.

B. Debus, L. Vanput, D. Chanet, and B. Desutter, Diablo Is A Better Link-time Optimizer, EIC06] EICAR. European Institute for Computer Anti-Virus Research, 2006.

. Elias, Detect if your program is running inside a Virtual Machine, 2005.

]. C. Elk97 and . Elkan, Naive Bayesian Learning, 1997.

]. M. Ern03 and . Ernst, Static and dynamic analysis : synergy and duality, WODA 2003 : ICSE Workshop on Dynamic Analysis, pp.24-27, 2003.

E. Filiol, P. Evrard, G. Geffard, G. Guilleminot, G. Jacob et al., Evaluation de l'antivirus OneCare : quand avant l'heure ce n'est pas l'heure ! Journal de la sécurité informatique MISC, pp.42-51, 2007.

]. P. Fer06 and . Ferrie, Attacks on Virtual Machine Emulators, Proceedings of the 2006 AVAR Conference, 2006.

C. [. Filiol, S. Fontaine, and . Josse, The COSvd Ciphers, Proceedings of the ECRYPT Conference on The State of the Art of Stream Ciphers, 2004.

. Fgj-+-08-]-e, G. Filiol, G. Geffard, S. Jacob, D. Josse et al., Evaluation de l'antivirus Dr Web : l'antivirus qui venait du froid, Journal de la sécurité informatique MISC, issue.37, 2008.

M. [. Filiol, S. Helenius, and . Zanero, Open Problems in Computer Virology, Journal in Computer Virology, vol.1, issue.3???4, pp.55-66, 2006.
DOI : 10.1007/s11416-005-0008-3

]. E. Fil01 and . Filiol, Techniques de reconstruction en cryptologie et théorie des codes, 2001.

]. E. Fil04 and . Filiol, Les virus informatiques : theorie, pratique et applications, 2004.

]. E. Fil05a and . Filiol, Computer Viruses : From Theory to Applications, 2005.

]. E. Fil05b and . Filiol, La simulabilité des tests statistiques, Journal de la sécurité informatique MISC, issue.32, 2005.

]. E. Fil05c and . Filiol, Strong cryptography armoured computer viruses forbidding code analysis, Proceedings of the 14th Annual Conference of the European Institute for Computer Antivirus Research (EICAR), pp.216-227, 2005.

]. E. Fil06 and . Filiol, Malware Pattern Scanning Schemes Secure Against Black-box Analysis, Journal in Computer Virology, pp.35-50, 2006.

]. E. Fil07a and . Filiol, Formal model proposal for (malware) program stealth, Proceedings of the Virus bulletin 2007 Conference, pp.179-185, 2007.

]. E. Fil07b and . Filiol, Metamorphism, Formal Grammars and Undecidable Code Mutation, International Journal of Computer Science, vol.2, issue.2, pp.70-75, 2007.

]. E. Fil07c and . Filiol, Techniques virales avancées, 2007.

S. [. Filiol and . Josse, A statistical model for undecidable viral detection, Proceedings of the 16th EICAR Conference, pp.65-74, 2007.
DOI : 10.1007/s11416-007-0041-5

G. [. Filiol, M. L. Jacob, and . Liard, Evaluation methodology and theoretical model for antiviral behavioural detection strategies, Journal in Computer Virology, vol.34, issue.3, pp.23-37, 2007.
DOI : 10.1007/s11416-006-0026-9

M. [. Frej and . Ogorkiewicz, Analysis of Buffer Overflow Attacks, 2004.

]. C. Fon98 and . Fontaine, Contribution à la recherche de fonctions booléennes hautement non linéaires et au marquage d'images en vue de la protection des droits d'auteur, 1998.

]. D. Fou02 and . Fourdrinier, Statistique inférentielle, Sciences Sup, 2002.

]. G. Gar06 and . Garner, Forensic Acquisition Utilities, 2006.

]. A. Gaz08 and . Gazet, Comparative analysis of various ransomware virii, Proceedings of the 17th EICAR Conference, pp.4-6, 2008.

J. [. Grocholewska-czuryjo and . Stoklosa, Random Generation of S-Boxes for Block Ciphers, 2006.

A. [. Guillot and . Gazet, Désobfuscation automatique de binaire -The Barbarian Sublimation, Symposium sur la Securite des Technologies de l'Information et des Communications, 2009.

]. Z. Gha98 and . Ghahramani, Learning dynamic Bayesian networks, Adaptive Processing of Sequences and Data Structures, pp.168-197, 1998.

R. [. Garner and . Mora, Kntlist tool, 2005.

J. [. Goubin, M. Masereel, and . Quisquater, Cryptanalysis of White Box DES Implementations, Proceedings of the 14th Annual Workshop on Selected Areas in Cryptography, 2007.
DOI : 10.1007/978-3-540-77360-3_18

. Griyo, Entry-Point Obscuring, 2006.

]. P. Haz03 and . Hazel, PCRE : Perl Compatible Regular Expressions, 2003.

]. J. Hea06a and . Heasman, Implementing and detecting a PCI rootkit, 2006.

]. J. Hea06b and . Heasman, Implementing and Detecting an ACPI BIOS Root Kit, 2006.

[. Heavens, Virus Collection, 2008.

]. D. Her03 and . Herrmann, Using the Common Criteria for IT Security Evaluation, 2003.

]. G. Hog05 and . Hoglund, Rootkits : Subverting the Windows Kernel, 2005.

]. S. Hor97 and . Horwitz, Precise flow-insensitive may-alias analysis is NP-hard, In ACM Transactions on Programming Languages and Systems, vol.19, pp.1-6, 1997.

D. [. Jacob, E. Boneh, and . Felten, Attacking an Obfuscated Cipher by Injecting Faults, Proceedings of ACM CCS-9 Workshop (LNCS 2696) : Digital Rights Management, pp.16-31, 2003.
DOI : 10.1007/978-3-540-44993-5_2

E. [. Jacob, H. Filiol, and . Debar, Functional polymorphic engines: formalisation, implementation and use cases, Proceedings of the EICAR 2008 Conference, pp.3-6, 2008.
DOI : 10.1007/s11416-008-0095-z

]. S. Jos05 and . Josse, Techniques d'obfuscation de code : chiffrer du clair avec du clair, Journal de la sécurité informatique MISC, issue.20, pp.32-42, 2005.

]. S. Jos06a and . Josse, How to Assess the Effectiveness of your Anti-virus ?, Proceedings of the 15th EICAR Conference, pp.51-65, 2006.

]. S. Jos06b and . Josse, Secure and advanced unpacking using computer emulation, Proceedings of the AVAR, 2006.

]. S. Jos07a and . Josse, Rootkit detection from outside the Matrix, Proceedings of the 16th EICAR Conference, pp.113-123, 2007.

]. S. Jos07b and . Josse, VxStripper, Virus (and other armored software) reverse engineering tool, 2007.

]. S. Jos08 and . Josse, White Box Attack Context Cryptovirology, Proceedings of the 17th EICAR Conference, 2008.

]. G. Kil73, A unified approach to global program optimization, Proceedings of the 1st annual ACM SIGACT-SIGPLAN symposium on Principles of programming languages, pp.194-206, 1973.

P. [. Kang, H. Poosankam, and . Yin, Renovo, Proceedings of the 2007 ACM workshop on Recurring malcode, WORM '07, pp.46-53, 2007.
DOI : 10.1145/1314389.1314399

F. [. Kaneko, K. Sano, and . Sakurai, On provable security against differential and linear cryptanalysis in generalized Feistel ciphers with multiple random functions, Proc. of SAC'97, pp.185-199, 1997.

J. [. Kam and . Ullman, Monotone data flow analysis frameworks, Acta Informatica, pp.305-317, 1977.
DOI : 10.1007/BF00290339

D. [. Karlof and . Wagner, Hidden Markov Model Cryptanalysis, Proceedings of Cryptographic Hardware and Embedded Systems (CHES), pp.17-34, 2003.
DOI : 10.1007/978-3-540-45238-6_3

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=

]. W. Lan92 and . Landi, Interprocedural aliasing in the presence of pointers, 1992.

]. C. Lau08 and . Lauradoux, Detecting Virtual Rootkits with Cover Channels, Proceedings of the 17th EICAR Conference, 2008.

]. K. Law07 and . Lawton, Bochs : The Open Source IA-32 Emulation Project, 2007.

C. [. Law and . Chan, N-thorder Ergodic Multigram HMM for modeling of languages without marked word boundaries, Proceedings of the 16th conference on Computational linguistics, pp.204-209, 1996.

S. [. Linn and . Debray, Obfuscation of executable code to improve resistance to static disassembly, Proceedings of the 10th ACM conference on Computer and communication security , CCS '03, pp.290-299
DOI : 10.1145/948109.948149

I. [. Lee, S. Jeong, and . Choi, Dynamically Weighted Hidden Markov Model for Spam Deobfuscation. Int'l Conf, Artificial Neural Networks (IJCAI-2007), pp.2523-2529, 2007.

]. H. Ln05a, A. Y. Lee, and . Ng, Spam Deobfuscation using a Hidden Markov Model, Conference on Email and Anti-Spam, 2005.

]. Ln05b, . He, W. Link, and . Neumann, Clarifying obfuscation : improving the security of white-box DES, International Conference on Information Technology : Coding and Computing, 2005.

M. [. Lynn, A. Prabhakaran, and . Sahai, Positive Results and Techniques for Obfuscation, Proceedings of Eurocrypt, 2004.
DOI : 10.1007/978-3-540-24676-3_2

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=

[. Lsd, The Last Stage of Delirium Research Group, Win32 Assembly Components, 2002.

]. S. Luc00 and . Lucas, Observable Semantics and Dynamic Analysis of Computational Processes, 2000.

M. Madou, B. Anckaert, B. Desutter, and K. Debosschere, Hybrid static-dynamic attacks against software protection mechanisms, Proceedings of the 5th ACM workshop on Digital rights management , DRM '05, pp.75-82, 2005.
DOI : 10.1145/1102546.1102560

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=

. Mam-+-05-]-m, B. Madou, P. Anckaert, S. Moseley, B. Debray et al., Software protection through dynamic code mutation, Proceedings of the 6th International Workshop on Information Security Applications (WISA, pp.194-206, 2005.

. Mcafee, Virusscan 8.5i and epolicy orchestrator 3.6.1 security target, 2007.

. N. Mdd-+-08-]-j, E. M. Matthews, T. Dow, W. Deshane, J. Hu et al., Running Xen : A Hands-On Guide to the Art of Virtualization, 2008.

A. [. Miretskiy, C. P. Das, E. Wright, and . Zadok, Avfs : An On-Access Anti-Virus File System, Proceedings of the 13th USENIX Security Symposium, pp.73-88, 2004.

A. Moser, C. Kruegel, E. Kirda-morin, L. Méolm, and O. Ruthing, Kernel Patch Protection : Frequently Asked Questions [Mic06c] Microsoft. Microsoft Portable Executable and Common Object File Format Specification, revision 8.0. http ://msdn.microsoft.com [Mis03] P. Mishra. A taxonomy of software uniqueness transformations Master's thesis Exploring multiple execution paths for malware analysis Intrusion detection and virology : an analysis of differences, similarities and complementariness Nigam. A comparison of event models for naive bayes text classification The Complexity of Constant Propagation, Installable File System Kit Proc. IEEE Symposium on Security and Privacy Journal in Computer Virology AAAI- 98 Workshop on Learning for Text Categorization Proceedings of the 10th European Symposium on Programming (ESOP)Muc97] S.S. Muchnick. Advanced Compiler Design and ImplementationMur97] F. Muri. Comparaison d'algorithmes d'identification de chaînes de Markov cachées et application à la détection de régions homogènes dans les séquences d'ADN, pp.231-245, 1997.

M. Madou, L. Vanput, and K. Debosschere, LOCO, Proceedings of the 2006 ACM SIGPLAN symposium on Partial evaluation and semantics-based program manipulation , PEPM '06, pp.140-144, 2006.
DOI : 10.1145/1111542.1111566

M. Madou, L. Vanput, and K. Debosschere, Understanding Obfuscated Code Technical report [Nor07] Norman. SandBox Malware analyzer Oberhumer and L. Molnar. The Ultimate Packer for eXecutables (UPX) Software Obfuscation on a Theoretical Basis and Its Implementation, Proceedings of the 14th IEEE International Conference on Program ComprehensionNIS01] NIST. FIPS 197 : Announcing the advanced encryption standard (AES) National Institute of Standards and Technology (NIST) Sakabe, M. Soshi, and A. Miyaji. Software Tamper Resistance Based on the Difficulty of Interprocedural Analysis. 3rd Workshop on Information Security ApplicationsPap94] C.H. Papadimitriou. Computational complexityPEi07] PEiD. PE iDentifierPen02b] A. Pennell. Post-Mortem Debugging Your Application with Minidumps and Visual Studio .NET, 2002. [PJ99] E. Pasalic and T. Johansson. Further results on the relation between nonlinearity and resiliency for Boolean functions Proceedings of IMA Conference on Cryptography and Coding, pp.268-274176, 1994.
DOI : 10.1109/icpc.2006.49

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=

N. L. Petroni-jr, T. Fraser, J. Molina, and W. A. Arbaugh, Copilot-a coprocessor-based kernel runtime integrity monitor, Proceedings of the 13th conference on USENIX Security Symposium-Volume 13 table of contents, pp.13-13, 2004.

]. V. Pla01 and . Plagnol, Detection de Génes par Modéles de Chaînes de Markov Cachées, 2001.

]. G. Por04 and . Portokalidis, Zero Hour Worm Detection and Containment using Honeypots, 2004.

]. G. Psb06a, A. Portokalidis, H. Slowinska, and . Bos, Argos : an emulator for fingerprinting zero-day attacks for advertised honeypots with automatic signature generation, Proceedings of the 2006 EuroSys conference, pp.15-27, 2006.

]. G. Psb06b, A. Portokalidis, H. Slowinska, and . Bos, Argos project, 2006.

]. G. Psb06c, A. Portokalidis, H. Slowinska, and . Bos, Howto setting up argos the 0day shellcode catcher, 2006.

B. [. Preneel and . Wyseur, Condensed white-box implementations, Proceedings of the 26th Symposium on Information Theory in the Benelux, pp.296-301, 2005.

[. Rabiner, A tutorial on hidden Markov models and selected applications inspeech recognition, Proceedings of the IEEE, pp.257-286, 1989.

]. J. [-rey04 and . Rey, Calculabilité, complexité et approximation, 2004.

J. [. Rish, T. Hellerstein, and . Jayram, An analysis of data characteristics that affect naive Bayes performance, Proceedings of the Eighteenth Conference on Machine Learning-ICML2001, 2001.

C. [. Robin and . Irvine, Analysis of the Intel Pentium's ability to support a secure virtual machine monitor, Proceedings of the 9th conference on USENIX Security Symposium-Volume 9 table of contents, pp.10-10, 2000.

[. Jr, Theory of recursive functions and effective computability, 1987.

R. [. Rabek, S. M. Khazan, R. K. Lewandowski, and . Cunningham, Detection of injected, dynamically generated, and obfuscated malicious code, Proceedings of the 2003 ACM workshop on Rapid Malcode , WORM'03, pp.76-82, 2003.
DOI : 10.1145/948187.948201

B. [. Riordan and . Schneier, Environmental Key Generation Towards Clueless Agents, Mobile Agents and Security, pp.15-24, 1998.
DOI : 10.1007/3-540-68671-1_2

D. [. Russinovich and . Solomon, Microsoft Windows internals : Microsoft Windows Server, 2000.

]. J. [-rut05a and . Rutkowska, Detecting Windows Server Compromises with Patchfinder 2, 2005. [Rut05b] J. Rutkowska. Red Pill... or how to detect VMM using (almost) one CPU instruction, 2005.

]. J. [-rut05c and . Rutkowska, System virginity verifier : Defining the roadmap for malware detection on windows systems. Hack In The Box Security Conference, 2005.

]. J. [-rut06 and . Rutkowska, Subverting Vista Kernel For Fun And Profit, 2006.

]. Sab07a and . Sabre, BinDiff Users Manual. sabre-security.com, 2007.

]. Sab07b and . Sabre, Using SABRE BinDiff for Malware analysis. sabre-security.com, 2007.

]. P. Sar02 and . Sarkar, Cross-Correlation Analysis of Cryptographically Useful Boolean Functions and S-Boxes, Theory of Computing Systems, pp.39-57, 2002.

C. [. Smaragdakis and . Csallner, Combining Static and Dynamic Reasoning for Bug Detection, Proceedings of the 1st International Conference on Tests And Proofs (TAP), pp.1-16, 2007.
DOI : 10.1007/978-3-540-73770-4_1

]. A. Sch06a and . Schuster, Acquisition : dd. Personal weblog http, 2006.

E. [. Schultz, E. Eskin, S. J. Zadok, and . Stolfo, Data mining methods for detection of new malicious executables, Proceedings 2001 IEEE Symposium on Security and Privacy. S&P 2001, 2001.
DOI : 10.1109/SECPRI.2001.924286

]. C. Sha49 and . Shannon, Communication theory of secrecy systems, Bell System Technical Journal, vol.28, issue.4, pp.656-715, 1949.

F. [. Shafieinezhad, T. Hendessi, and . Gulliver, A structure for fast data encryption, International Journal of Contemporary Mathematical Sciences, vol.2, pp.29-321401, 2004.
DOI : 10.12988/ijcms.2007.07148

]. R. Soa87 and . Soare, Recursively Enumerable Sets and Degrees : A Study of Computable Functions and Computably Generated Sets, 1987.

. Sol07 and . Solar, Software Optimization at Link-Time and Run-Time, 2007.

R. [. Soeder and . Permeh, eEye BootRoot : A Basis for Bootstrap-Based Windows Kernel Code, 2005.

]. D. Spi03 and . Spinellis, Reliable identification of bounded-length viruses is NP-complete. Information Theory, IEEE Transactions on, vol.49, issue.1, pp.280-284, 2003.

M. [. Solomon and . Russinovich, Inside Microsoft Windows, 2000.

]. A. Ste05 and . Stepan, Defeating Polymorphism : Beyond Emulation, Proceedings of the Virus Bulletin International Conference, 2005.

W. [. Shannon and . Weaver, The mathematical theory of communication. University of Illinois, 1949.

D. [. Song, X. Wagner, and . Tian, Timing analysis of keystrokes and timing attacks on SSH, Proceedings of the 10th conference on USENIX Security Symposium, 2001.

A. Sung, J. Xu, P. Chavez, and S. Mukkamala, Static analyzer of vicious executables (SAVE) Computer Security Applications Conference, 20th Annual, pp.326-334, 2004.

]. P. Szö05 and . Ször, The Art of Computer Virus Research and Defense [tea06] AV-Test team. Av-test.org project, 2005.

]. J. Tro04 and . Troger, Specification-Driven Dynamic Binary Translation, 2004.

]. T. Tsa04 and . Tsai, Hidden Markov Model for text analysis, 2004.

]. R. Unr-+-05, G. Uhlig, D. Neiger, A. L. Rodgers, F. C. Santoni et al., Intel Virtualization Technology, 2005.

. Vdm-+-05-]-l, B. Vanput, M. Desutter, B. Madou, D. Debus et al., LANCET : a nifty code editing tool, Proceedings of Workshop on Program Analysis for Software Tools and Engineering, pp.75-81, 2005.

]. M. Vid05 and . Videau, Critères de sécurité des algorithmes de chiffrement à clé secrète, 2005.

. Vig06a and . Vigil@nce, Incorrect analysis of LHA files. BUGTRAQ-10243, CVE-2004-0234, 2006.

. Vig06b and . Vigil@nce, Incorrect analysis of MIME messages. BUGTRAQ-9650, CVE-2004-2088, 2006.

. Vig06c and . Vigil@nce, Incorrect analysis of RAR files. BUGTRAQ-13416, CVE-2005-1346, 2006.

. Vig06d and . Vigil@nce, Incorrect analysis of the data integrated into a URI. BUGTRAQ-12269, CVE-2005-0218, 2006.

. Vigil@nce, Incorrect analysis of ZIP files when they are protected by a password or have several levels of overlap, 2004.

. Vigil@nce, Incorrect management of the files containing ANSI escape characters (these sequences can disturb display during the consultation of the audit files by the administrator) BUGTRAQ-12793, 2006.

. Vig06g and . Vigil@nce, Incorrect Unicode support. BUGTRAQ-10164, 2006.

. Vig06h and . Vigil@nce, No disinfection of ZIP file. BUGTRAQ-11448, CVE-2004-0932-0937, CVE-2004-1096, 2006.

. Vig06i and . Vigil@nce, Outlook accepts messages whose format does not respect the RFC 822 (Standard for the format of ARPA Internet text messages) BUGTRAQ-5259, CVE-2002-0637, 2006.

]. E. Vis01 and . Visser, A Survey of Rewriting Strategies in Program Transformation Systems, Electronic Notes in Theoretical Computer Science, vol.57, issue.2, 2001.

]. P. Van-oorschot, Revisiting Software Protection, Proceedings of the 6th International Information Security Conference (ISC, 2003.
DOI : 10.1007/10958513_1

R. [. Vasudevan and . Yerraballi, Cobra: fine-grained malware analysis using stealth localized-executions, 2006 IEEE Symposium on Security and Privacy (S&P'06), 2006.
DOI : 10.1109/SP.2006.9

C. Wang, J. Davidson, J. Hill, and J. Knight, Protection of software-based survivability mechanisms, International Conference of Dependable Systems and Networks, 2001.

. Weariless, Performing a hex dump of another process's memory, 2003.

T. [. Willems, F. Holz, and . Freiling, Toward Automated Dynamic Malware Analysis Using CWSandbox, IEEE Security & Privacy, pp.32-39, 2007.
DOI : 10.1109/MSP.2007.45

B. Wyseur, W. Michiels, P. Gorissen, and B. Preneel, Cryptanalysis of White-Box DES Implementations with Arbitrary External Encodings, Proceedings of the 14th Annual Workshop on Selected Areas in Cryptography, 2007.
DOI : 10.1007/978-3-540-77360-3_17

M. [. Wong and . Stamp, Hunting for metamorphic engines, Journal in Computer Virology, pp.211-229, 2006.
DOI : 10.1007/s11416-006-0028-7

A. Webster and S. Tavares, On the design of S-boxes In Lecture notes in computer sciences on Advances in cryptology?CRYPTO'85, pp.523-534, 1986.

Y. Xie, M. Naik, B. Hackett, and A. Aiken, Soundness and its Role in Bug Detection Systems, Proceedings of the Workshop on the Evaluation of Software Defect Detection Tools, 2005.

M. [. Young and . Yung, Cryptovirology: extortion-based security threats and countermeasures, Proceedings 1996 IEEE Symposium on Security and Privacy, pp.129-141, 1996.
DOI : 10.1109/SECPRI.1996.502676

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=

M. [. Young and . Yung, Malicious cryptography : exposing cryptovirology, 2004.
DOI : 10.1016/s0267-3649(04)00079-2

]. A. Zei05 and . Zeichick, Coming Soon to VMware, Microsoft, and Xen : AMD Virtualization Technology Solves Virtualization Challenges, 2005.

]. D. Zov06 and . Zovi, Hardware Virtualization Based Rootkits, Black Hat USA, 2006.

B. [. Zhang and . Ryder, Complexity of single level function pointer aliasing analysis, 1994.

M. Zhou, Some Further Theoretical Results about Computer Viruses, The Computer Journal, pp.627-633, 2004.

Q. [. Zuo, M. Zhu, and . Zhou, On the time complexity of computer viruses. Information Theory, IEEE Transactions on, vol.51, issue.8, pp.2962-2966, 2005.

A. La-norme and A. , Advanced Configuration and Power Interface) succède à la norme APM. Elle permet une gestion efficace de la consommation d'un ordinateur, en limitant, par exemple, l'alimentation des composants inactifs, p.128

A. La-norme and A. , Advanced Power Management) permet une gestion de l'alimentation du système par le BIOS ou le système d'exploitation. Bien que cette norme soit toujours supportée par la plupart des systèmes d'exploitation, elle est progressivement remplacée par la norme ACPI, p.128

B. Le and B. , firmware) qui s'interface directement avec le matériel pour exécuter certaines tâches d'entrée/sortie, ainsi que d'autres fonctions de bas niveau. le BIOS est le composant responsable de la configuration initiale du système. À titre d'exemple, la routine POST (Power On Self Test) du BIOS est le premier composant à s'exécuter lors du démarrage du système. Une fois que le POST a configuré les différents services souhaités, le BIOS passe la main au chargeur de démarrage qui permettra de sélectionner le système d'exploitation à démarrer, Historiquement, les systèmes d'exploitation faisaient appel à des routines du BIOS en cours de fonctionnement pour configurer des périphériques ou communiquer avec eux, mais ce n'est aujourd'hui plus le cas dans les machines modernes. Le BIOS ne sert généralement qu'au démarrage du système, p.123

C. Le-contrôle-de-conformité-d, une fonction (ou d'un mécanisme) de sécurité consiste à vérifier qu'elle (il) se comporte suivant ses spécifications. Ce contrôle est mené en repassant les tests du développeur et en mettant en oeuvre des tests complémentaires

C. Le and C. , Current Processor Level) est le niveau de privilège du programme en cours d'exécution. Le CPL est stocké dans les deux premiers bits des registres de segment CS et SS, p.53

C. Une and C. , Complete Software Interpreter Machine) ou émulateur utilise uniquement l'interprétation logicielle (toutes les instructions CPU sont émulées par un programme logiciel, p.106

D. Le and D. , Descriptor Privilege Level) est le niveau de privilège d'un segment ou d'une porte (gate). Le DPL est stocké dans le descripteur de segment ou de porte, p.124

R. Efficacité and . Le-contrôle-de-robustesse-ou, une fonction (ou d'un mécanisme) de sécurité consiste à effectuer des tests d'intrusion mettant en oeuvre des menaces ou enfreignant la politique de sécurité en exploitant des vulnérabilités. L'objectif est de mener une analyse indépendante de vulnérabilité permettant de confirmer, par une analyse indépendante, le potentiel minimum d'attaque nécessaire pour mettre en oeuvre les menaces

L. Forensique, analyse forensique désigne l'analyse d'un système après incident Elle est effectuée par exemple après l'attaque d'un virus ou après intrusion d'un rootkit. Les méthodes et techniques employées évitent dans la mesure du possible l'utilisation des API haut niveau du système compromis, p.122

L. Forme-algébrique-normale and . Anf, Algebraïc Normal Form) désigne la représentation d'une fonction booléenne sous sa forme algébrique normale, c'est-à-dire de manière formelle sous la forme d'un polynôme à plusieurs variables, p.41

G. La and G. , segment) est une structure mémoire dont l'adresse de base est spécifiée dans le registre processeur GDTR Elle décrit des zones de la mémoire logique (les segments) et leurs propriétés (adresse de base en mémoire, taille, restrictions d'accès en fonction des privilèges processeurs, restrictions d'accès en lecture, écriture ou exécution) Cette table des descripteurs de segment peut également contenir, des Task Gates ou des Selecteurs de tâche (TSS) qui peuvent permettre un ordonnancement des tâches au niveau matériel, et des Call Gates qui peuvent permettre un changement de privilèges processeur si elles sont utilisées, p.123

C. Graphe and C. Le-graphe, Control Flow Graph) est la représentation sous forme d'un graphe orienté G = (N, E) des blocs de base (basic blocks) d'une procédure, p.54

P. Graphe and P. Le-graphe, Program Control Graph) d'un programme, appelé parfois aussi graphe ICFG (Inter-Procedural Control Graph) ou simplement graphe des appels, est un graphe orienté comportant autant de noeuds que de procédures. Les noeuds du graphe PCG sont appelés graphes (Control Flow Graph) Le graphe PCG est donc un graphe de graphe, p.54

H. La-couche-d, abstraction du matériel (Hardware Abstraction Layer -HAL) est une couche de code isolant le noyau, les pilotes de périphériques et le reste de l'exécutif Windows des différences matérielles sous jacentes liées à l'architecture matérielle, p.123

H. Hvm-une, Hybrid VM) interprète chaque instruction privilégiée par le biais du logiciel, p.274

. Chaque-structure-contient-le-nom-de, une table de pointeurs de fonctions Chaque fonction importée possède une entrée dans cette table qui sera remplie par le chargeur d'exécutable du système d'exploitation avec l'adresse virtuelle de la fonction en mémoire. Une fois qu'un module est chargé, l'IAT contient les adresses qui seront utilisées pour appeler les fonctions externes. Quel que soit le nombre d'appels à une fonction externe, p.94