什麼是惡意軟體分析？定義和概述惡意軟體分析過程

惡意軟體分析是了解惡意軟體如何運作以及給定惡意軟體的任何潛在影響的過程。惡意軟體**可以根本不同，知道惡意軟體可以具有許多功能是必要的。這些可能以病毒，蠕蟲，間諜軟體和特洛伊木馬的形式出現。每種型別的惡意軟體在使用者不知情或未授權的情況下收集有關受感染裝置的資訊。

用於惡意分析的案例

計算機安全事件管理：如果組織認為惡意軟體可能已進入其系統，則響應團隊將對此情況作出反應。接下來，他們希望對發現的任何潛在惡意檔案執行惡意軟體分析。然後，這將確定它是否確實是惡意軟體，型別以及它可能對各個組織的系統產生的影響。

惡意軟體研究：惡意軟體研究人員在學術或行業論壇上執行惡意軟體分析。這可以最好地了解惡意軟體的工作原理以及建立過程中使用的最新方法。

破壞指標（ioc）提取：軟體解決方案和產品的銷售商可以進行批量惡意軟體分析，以確定潛在的新的破壞指標，從而幫助組織抵禦惡意軟體攻擊。

惡意軟體分析的四個階段

調查惡意軟體是乙個需要採取一些步驟的過程。這四個階段形成了乙個複雜的金字塔。越接近金字塔頂端，階段越來越複雜，實現它們所需的技能也越來越少。在這裡，我們從底部開始，向您展示在發現惡意軟體的過程中的每一步。

全自動分析：評估可疑程式的最簡單方法之一是使用全自動化工具進行掃瞄。全自動化工具能夠快速評估惡意軟體滲入系統時的能力。此分析能夠生成有關網路流量，檔案活動和登錄檔項的詳細報告。儘管全自動分析不能提供與分析師一樣多的資訊，但它仍然是篩選大量惡意軟體的最快方法。

靜態屬性分析：為了更深入地了解惡意軟體，必須檢視其靜態屬性。訪問這些屬性很容易，因為它不需要執行潛在的惡意軟體，這需要更長的時間。靜態屬性包括雜湊，嵌入字串，嵌入式資源和標頭資訊。這些房產應該能夠顯示妥協的基本指標。

互動式行為分析：為了觀察惡意檔案，可能經常將其放在隔離的實驗室中，看它是否直接感染實驗室。分析師會經常監控這些實驗室，看看惡意檔案是否試圖連線到任何主機。有了這些資訊，分析師就可以複製情況，看看惡意檔案連線到主機後會做什麼，這使他們比使用自動化工具的人更有優勢。

手動**逆向：逆向惡意檔案的**可以解碼樣本儲存的加密資料，確定檔案域的邏輯，並檢視在行為分析期間未顯示的檔案的其他功能。為了手動逆向**，需要惡意軟體分析工具，如偵錯程式和反匯程式設計序。完成手動**逆向所需的技能非常重要，但也很難找到。