Альфапедия

Анализ вредоносного ПО

редактировать

Анализ вредоносного ПО - это исследование или процесс определения функциональности, происхождения и потенциального воздействия конкретного образца вредоносного ПО, такого как вирус, червь, троянский конь, руткит или бэкдор. Вредоносное или вредоносное программное обеспечение - это любое компьютерное программное обеспечение, предназначенное для нанесения вреда операционной системе хоста или для кражи конфиденциальных данных у пользователей, организаций или компаний. Вредоносное ПО может включать программное обеспечение, которое собирает информацию о пользователях без разрешения.

Содержание
  • 1 Примеры использования
  • 2 Типы
  • 3 этапа
  • 4 ссылки
Сценарии использования

Существует три типичных варианта использования, которые вызывают необходимость в анализе вредоносных программ:

  • Управление инцидентами компьютерной безопасности : если организация обнаруживает или подозревает, что какое-то вредоносное ПО могло проникнуть в ее системы, группа реагирования может пожелать выполнить анализ вредоносных программ на любых потенциальных образцах, обнаруженных в процессе расследования, чтобы определить, являются ли они вредоносными программами и, если Итак, какое влияние это вредоносное ПО может оказать на системы в среде целевой организации.
  • Исследование вредоносных программ : академические или отраслевые исследователи вредоносных программ могут выполнять анализ вредоносных программ, просто чтобы понять, как ведет себя вредоносная программа и какие новейшие методы используются при ее создании.
  • Индикатор извлечения компрометации : поставщики программных продуктов и решений могут проводить массовый анализ вредоносных программ для определения новых потенциальных индикаторов компрометации; эта информация может затем использоваться в продукте или решении для обеспечения безопасности, чтобы помочь организациям лучше защищаться от атак вредоносных программ.
Типы

Метод, с помощью которого выполняется анализ вредоносных программ, обычно подпадает под один из двух типов:

  • Статический анализ вредоносных программ : Статический анализ или анализ кода обычно выполняется путем анализа различных ресурсов двоичного файла без его выполнения и изучения каждого компонента. Двоичный файл также можно дизассемблировать (или реконструировать ) с помощью дизассемблера, такого как IDA или Ghidra. Машинный код иногда можно преобразовать в код сборки, который может быть прочитан и понят людьми: аналитик вредоносных программ может затем прочитать сборку, поскольку она коррелирует с конкретными функциями и действиями внутри программы, затем понять инструкции сборки и получить лучшая визуализация того, что делает программа и как она была изначально разработана. Просмотр сборки позволяет аналитику вредоносных программ / обратному инженеру лучше понять, что должно произойти, по сравнению с тем, что происходит на самом деле, и начать выявлять скрытые действия или непредвиденные функции. Некоторые современные вредоносные программы создаются с использованием уклончивых методов, позволяющих обойти этот тип анализа, например, путем встраивания ошибок синтаксического кода, которые сбивают с толку дизассемблеры, но продолжают работать во время реального выполнения.
  • Динамический анализ вредоносных программ : динамический или поведенческий анализ выполняется путем наблюдения за поведением вредоносного ПО, когда оно фактически работает в хост-системе. Эта форма анализа часто выполняется в среде «песочницы», чтобы предотвратить заражение вредоносными программами производственных систем; многие такие «песочницы» представляют собой виртуальные системы, которые можно легко вернуть в чистое состояние после завершения анализа. Вредоносное ПО также можно отлаживать во время работы с помощью отладчика, такого как GDB или WinDbg, чтобы шаг за шагом наблюдать за поведением и воздействием вредоносного ПО на хост-систему, пока обрабатываются его инструкции. Современные вредоносные программы могут демонстрировать широкий спектр методов обхода, предназначенных для предотвращения динамического анализа, включая тестирование виртуальных сред или активных отладчиков, задержку выполнения вредоносных полезных нагрузок или требование некоторой формы интерактивного ввода данных пользователем.
Этапы

Изучение вредоносного ПО включает несколько этапов, включая, помимо прочего, следующие:

  • Ручное изменение кода
  • Интерактивный анализ поведения
  • Анализ статических свойств
  • Полностью автоматизированный анализ
Рекомендации
Последняя правка сделана 2024-01-01 04:48:29
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте