分析惡意軟件主要通過下面四種方法:
全自動分析:評估可疑程序最簡單的方法之一是使用全自動工具掃描。如果惡意軟件侵入系統,全自動工具能夠快速評估它的能力。此分析能夠生成關于網絡流量、文件活動和注冊表項的詳細報告。盡管完全自動化的分析不能提供像分析師那樣多的信息,但它仍然是篩選大量惡意軟件的最快方法。
靜態屬性分析:為了更深入地了解惡意軟件,必須了解它的靜態屬性。訪問這些屬性很容易,因為它不需要運行潛在的惡意軟件,而這需要更長的時間。靜態屬性包括散列、嵌入字符串、嵌入資源和頭信息。屬性應當能夠顯示出破壞的基本指標。
交互式行為分析:為了觀察一個惡意文件,它可能經常被放在一個隔離的實驗室中,以查看它是否直接感染了實驗室。分析人員將經常監視這些實驗室,以查看惡意文件是否試圖附加到任何主機上。有了這些信息,分析人員就能夠復制這種情況,以查看一旦連接到主機,惡意文件將會做什么,這使他們比那些使用自動化工具的人更有優勢。
手動代碼逆向工程:逆向惡意文件的代碼可以解碼樣本存儲的加密數據,確定文件域的邏輯,并查看在行為分析期間沒有顯示的文件的其他功能。為了手動逆向代碼,需要調試器和反匯編器等惡意軟件分析工具。完成手動代碼反轉所需的技能非常重要,但也很難找到。
回答所涉及的環境:聯想天逸510S、Windows 10。
分析惡意軟件主要通過下面四種方法:
全自動分析:評估可疑程序最簡單的方法之一是使用全自動工具掃描。如果惡意軟件侵入系統,全自動工具能夠快速評估它的能力。此分析能夠生成關于網絡流量、文件活動和注冊表項的詳細報告。盡管完全自動化的分析不能提供像分析師那樣多的信息,但它仍然是篩選大量惡意軟件的最快方法。
靜態屬性分析:為了更深入地了解惡意軟件,必須了解它的靜態屬性。訪問這些屬性很容易,因為它不需要運行潛在的惡意軟件,而這需要更長的時間。靜態屬性包括散列、嵌入字符串、嵌入資源和頭信息。屬性應當能夠顯示出破壞的基本指標。
交互式行為分析:為了觀察一個惡意文件,它可能經常被放在一個隔離的實驗室中,以查看它是否直接感染了實驗室。分析人員將經常監視這些實驗室,以查看惡意文件是否試圖附加到任何主機上。有了這些信息,分析人員就能夠復制這種情況,以查看一旦連接到主機,惡意文件將會做什么,這使他們比那些使用自動化工具的人更有優勢。
手動代碼逆向工程:逆向惡意文件的代碼可以解碼樣本存儲的加密數據,確定文件域的邏輯,并查看在行為分析期間沒有顯示的文件的其他功能。為了手動逆向代碼,需要調試器和反匯編器等惡意軟件分析工具。完成手動代碼反轉所需的技能非常重要,但也很難找到。
回答所涉及的環境:聯想天逸510S、Windows 10。