来源:https://digitalguardian.com/blog/what-malware-analysis-defining-and-outlining-process-malware-analysis#:~:text=%20Four%20Stages%20of%20Malware%20Analysis%20%201,times%20be%20put%20in%20an%20isolated...%20More%20
恶意软件分析是学习恶意软件的功能和任何潜在的影响的过程。恶意软件代码可以完全不同,了解恶意软件可以有许多功能是很重要的。这些可能以病毒、蠕虫、间谍软件和特洛伊木马的形式出现。每种类型的恶意软件都在用户不知情或未经授权的情况下收集受感染设备的信息。
一、恶意软件分析用例
计算机安全事件管理:如果一个组织相信恶意软件可能已经进入它的系统,一个反应小组将对情况作出反应。接下来,他们将对发现的任何潜在恶意文件进行恶意软件分析。这将确定它是否真的是恶意软件,什么类型,以及它可能对各个组织的系统造成的影响。
恶意软件研究:恶意软件研究人员进行恶意软件分析的学术或行业论坛。这创建了对恶意软件如何工作的最佳理解,以及在其创建中使用的最新方法。
破坏指标(IOC)提取:软件解决方案和产品的销售商可能会进行大量的恶意软件分析,以确定潜在的新的破坏指标,这将反过来帮助组织保护自己免受恶意软件攻击。
二、恶意软件分析的四个阶段
调查恶意软件是一个需要采取几个步骤的过程。这四个阶段形成了一个错综复杂的金字塔。当你接近金字塔的顶端时,阶段的复杂性就会增加,而实现这些阶段所需的技能就不那么常见了。我们从底部开始,向你展示每一步如何发现恶意软件。
1、全自动分析:评估可疑程序最简单的方法之一是使用全自动工具扫描。如果恶意软件侵入系统,全自动工具能够快速评估它的能力。此分析能够生成关于网络流量、文件活动和注册表项的详细报告。尽管完全自动化的分析不能提供像分析师那样多的信息,但它仍然是筛选大量恶意软件的最快方法。
2、静态属性分析:为了更深入地了解恶意软件,必须了解它的静态属性。访问这些属性很容易,因为它不需要运行潜在的恶意软件,而这需要更长的时间。静态属性包括散列、嵌入字符串、嵌入资源和头信息。属性应当能够显示出破坏的基本指标。
3、交互式行为分析:为了观察一个恶意文件,它可能经常被放在一个隔离的实验室中,以查看它是否直接感染了实验室。分析人员将经常监视这些实验室,以查看恶意文件是否试图附加到任何主机上。有了这些信息,分析人员就能够复制这种情况,以查看一旦连接到主机,恶意文件将会做什么,这使他们比那些使用自动化工具的人更有优势。
4、手动代码逆向工程:逆向恶意文件的代码可以解码样本存储的加密数据,确定文件域的逻辑,并查看在行为分析期间没有显示的文件的其他功能。为了手动逆向代码,需要调试器和反汇编器等恶意软件分析工具。完成手动代码反转所需的技能非常重要,但也很难找到。
网友评论