恶意软件分析简介
恶意软件是一种可执行的二进制文件,本质上是恶意的。攻击者可以使用恶意软件来执行各种恶意操作,例如使用键盘记录器或 RAT 对目标进行间谍活动,他们还可以删除您的数据或加密您的数据以获取“赎金”。
恶意软件类型:
恶意软件旨在执行恶意操作,它们具有不同的功能。各种类型的恶意软件是:
- 特洛伊木马——
木马可以破坏数据和泄露数据,也可以用于间谍活动。 - 老鼠——
这种类型的恶意软件允许攻击者远程访问和执行系统上的命令。 - 勒索软件 –
勒索软件会加密系统上的所有文件,并保留系统及其数据以供赎金。 - 滴管——
Droppers 功能是下载/删除其他恶意软件。
什么是恶意软件分析?
恶意软件分析是确定给定恶意软件样本的功能、来源和潜在影响并从中提取尽可能多的信息的研究或过程。提取的信息有助于了解恶意软件的功能和范围、系统是如何被感染的以及未来如何防御类似的攻击。
目标:
- 了解恶意软件的类型及其功能。
- 确定系统是如何被恶意软件感染的,并定义它是有针对性的攻击还是网络钓鱼攻击。
- 恶意软件如何与攻击者通信。
- 未来检测恶意软件并生成签名。
恶意软件分析的类型:
- 静态分析——
这是一个分析恶意软件而不执行或运行它的过程。此分析用于从恶意软件中提取尽可能多的元数据,例如 PE 标头字符串等。 - 动态分析——
它是执行恶意软件并分析其功能和行为的过程。此分析有助于了解恶意软件在使用调试器执行期间的行为。 - 代码分析——
这是一个分析/逆向工程汇编代码的过程。它是静态和动态分析的结合。 - 行为分析——
它是执行后对恶意软件进行分析和监控的过程。它涉及监控进程、注册表项和网络监控以确定恶意软件的工作方式。