Anna艳娜
2
CISO
高级信息系统项目管理师
PMP
Anna艳娜2
CISO
高级信息系统项目管理师
PMP
全自动分析、静态属性分析、交互式行为分析、手动代码逆向工程。
恶意软件包括任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备,还可能会影响与受感染设备通信的其他设备。
恶意软件涵盖从最简单的电脑蠕虫和木马程序,到最复杂的电脑病毒等,都包括在内。
分析恶意软件主要通过下面四种方法:
1、全自动分析:评估可疑程序最简单的方法之一是使用全自动工具扫描。如果恶意软件侵入系统,全自动工具能够快速评估它的能力。此分析能够生成关于网络流量、文件活动和注册表项的详细报告。尽管完全自动化的分析不能提供像分析师那样多的信息,但它仍然是筛选大量恶意软件的最快方法。
2、静态属性分析:为了更深入地了解恶意软件,必须了解它的静态属性。访问这些属性很容易,因为它不需要运行潜在的恶意软件,而这需要更长的时间。静态属性包括散列、嵌入字符串、嵌入资源和头信息。属性应当能够显示出破坏的基本指标。
3、交互式行为分析:为了观察一个恶意文件,它可能经常被放在一个隔离的实验室中,以查看它是否直接感染了实验室。分析人员将经常监视这些实验室,以查看恶意文件是否试图附加到任何主机上。有了这些信息,分析人员就能够复制这种情况,以查看一旦连接到主机,恶意文件将会做什么,这使他们比那些使用自动化工具的人更有优势。
4、手动代码逆向工程:逆向恶意文件的代码可以解码样本存储的加密数据,确定文件域的逻辑,并查看在行为分析期间没有显示的文件的其他功能。为了手动逆向代码,需要调试器和反汇编器等恶意软件分析工具。完成手动代码反转所需的技能非常重要,但也很难找到。
趣能一姐
2
CISAW安全运维(专业级)
高级信息系统项目管理师
趣能一姐2
CISAW安全运维(专业级)
高级信息系统项目管理师
分析恶意软件主要通过下面四种方法:
全自动分析:评估可疑程序最简单的方法之一是使用全自动工具扫描。如果恶意软件侵入系统,全自动工具能够快速评估它的能力。此分析能够生成关于网络流量、文件活动和注册表项的详细报告。尽管完全自动化的分析不能提供像分析师那样多的信息,但它仍然是筛选大量恶意软件的最快方法。
静态属性分析:为了更深入地了解恶意软件,必须了解它的静态属性。访问这些属性很容易,因为它不需要运行潜在的恶意软件,而这需要更长的时间。静态属性包括散列、嵌入字符串、嵌入资源和头信息。属性应当能够显示出破坏的基本指标。
交互式行为分析:为了观察一个恶意文件,它可能经常被放在一个隔离的实验室中,以查看它是否直接感染了实验室。分析人员将经常监视这些实验室,以查看恶意文件是否试图附加到任何主机上。有了这些信息,分析人员就能够复制这种情况,以查看一旦连接到主机,恶意文件将会做什么,这使他们比那些使用自动化工具的人更有优势。
手动代码逆向工程:逆向恶意文件的代码可以解码样本存储的加密数据,确定文件域的逻辑,并查看在行为分析期间没有显示的文件的其他功能。为了手动逆向代码,需要调试器和反汇编器等恶意软件分析工具。完成手动代码反转所需的技能非常重要,但也很难找到。
推荐文章
