怎么分析恶意软件

分析恶意软件主要通过下面四种方法：

• 全自动分析：评估可疑程序最简单的方法之一是使用全自动工具扫描。如果恶意软件侵入系统，全自动工具能够快速评估它的能力。此分析能够生成关于网络流量、文件活动和注册表项的详细报告。尽管完全自动化的分析不能提供像分析师那样多的信息，但它仍然是筛选大量恶意软件的最快方法。

• 静态属性分析：为了更深入地了解恶意软件，必须了解它的静态属性。访问这些属性很容易，因为它不需要运行潜在的恶意软件，而这需要更长的时间。静态属性包括散列、嵌入字符串、嵌入资源和头信息。属性应当能够显示出破坏的基本指标。

• 交互式行为分析：为了观察一个恶意文件，它可能经常被放在一个隔离的实验室中，以查看它是否直接感染了实验室。分析人员将经常监视这些实验室，以查看恶意文件是否试图附加到任何主机上。有了这些信息，分析人员就能够复制这种情况，以查看一旦连接到主机，恶意文件将会做什么，这使他们比那些使用自动化工具的人更有优势。

• 手动代码逆向工程：逆向恶意文件的代码可以解码样本存储的加密数据，确定文件域的逻辑，并查看在行为分析期间没有显示的文件的其他功能。为了手动逆向代码，需要调试器和反汇编器等恶意软件分析工具。完成手动代码反转所需的技能非常重要，但也很难找到。