Введение в анализ вредоносного ПО
Вредоносное ПО - это исполняемый двоичный файл, имеющий вредоносный характер. Вредоносные программы могут использоваться злоумышленниками для выполнения различных вредоносных действий, таких как слежка за целью с помощью клавиатурных шпионов или RAT'ов, они также могут удалить ваши данные или зашифровать ваши данные для «выкупа».
Типы вредоносного ПО:
Вредоносное ПО предназначено для выполнения вредоносных действий и имеет различную функциональность. Различные типы вредоносного ПО:
- Трояны -
Трояны могут уничтожать данные и извлекать данные, а также могут использоваться для шпионажа. - Крысы -
Этот тип вредоносного ПО позволяет злоумышленнику получать удаленный доступ и выполнять команды в системе. - Программы-вымогатели -
Программа-вымогатель шифрует все файлы в системе и хранит систему и ее данные для выкупа. - Капельница -
Функциональность дропперов заключается в загрузке / удалении дополнительных вредоносных программ.
Что такое анализ вредоносного ПО?
Анализ вредоносного ПО - это исследование или процесс определения функциональности, происхождения и потенциального воздействия конкретного образца вредоносного ПО и извлечения из него максимального объема информации. Извлеченная информация помогает понять функциональность и масштаб вредоносного ПО, то, как система была заражена и как защититься от подобных атак в будущем.
Цели:
- Чтобы понять тип вредоносного ПО и его функции.
- Определите, как система была заражена вредоносным ПО, и определите, была ли это целенаправленная атака или фишинговая атака.
- Как вредоносная программа взаимодействует со злоумышленником.
- Будущее обнаружение вредоносных программ и создание сигнатур.
Типы анализа вредоносного ПО:
- Статический анализ -
Это процесс анализа вредоносного ПО без его запуска или запуска. Этот анализ используется для извлечения как можно большего количества метаданных из вредоносных программ, таких как строки заголовков PE и т. Д. - Динамический анализ -
Это процесс запуска вредоносного ПО и анализа его функциональности и поведения. Этот анализ помогает узнать, что делает вредоносная программа во время своего выполнения с помощью отладчика. - Анализ кода -
Это процесс анализа / обратного проектирования ассемблерного кода. Это сочетание статического и динамического анализа. - Поведенческий анализ -
Это процесс анализа и мониторинга вредоносного ПО после выполнения. Он включает в себя мониторинг процессов, записей реестра и мониторинг сети для определения работы вредоносного ПО.