@ner
2年前 提问
1个回答
怎么分析恶意软件
趣能一姐
2年前
分析恶意软件主要通过下面四种方法:
全自动分析:评估可疑程序最简单的方法之一是使用全自动工具扫描。如果恶意软件侵入系统,全自动工具能够快速评估它的能力。此分析能够生成关于网络流量、文件活动和注册表项的详细报告。尽管完全自动化的分析不能提供像分析师那样多的信息,但它仍然是筛选大量恶意软件的最快方法。
静态属性分析:为了更深入地了解恶意软件,必须了解它的静态属性。访问这些属性很容易,因为它不需要运行潜在的恶意软件,而这需要更长的时间。静态属性包括散列、嵌入字符串、嵌入资源和头信息。属性应当能够显示出破坏的基本指标。
交互式行为分析:为了观察一个恶意文件,它可能经常被放在一个隔离的实验室中,以查看它是否直接感染了实验室。分析人员将经常监视这些实验室,以查看恶意文件是否试图附加到任何主机上。有了这些信息,分析人员就能够复制这种情况,以查看一旦连接到主机,恶意文件将会做什么,这使他们比那些使用自动化工具的人更有优势。
手动代码逆向工程:逆向恶意文件的代码可以解码样本存储的加密数据,确定文件域的逻辑,并查看在行为分析期间没有显示的文件的其他功能。为了手动逆向代码,需要调试器和反汇编器等恶意软件分析工具。完成手动代码反转所需的技能非常重要,但也很难找到。