看到下面这篇关于恶意软件分析的文章，分享给大家，希望能有些帮助。

什么是恶意软件分析？

恶意软件分析是研究恶意样本的过程。在研究期间，研究人员的目标是了解恶意程序的类型，功能，代码和潜在危险。接收组织响应入侵所需的信息。

您获得的分析结果：

• 恶意软件的工作原理：如果您调查程序的代码及其算法，您将能够阻止它感染整个系统。
• 该程序的特征：通过使用恶意软件上的数据（如其家族，类型，版本等）来改进检测。
• 恶意软件的目标是什么：触发示例的执行以检查它针对哪些数据，但当然，要在安全的环境中执行此操作。
• 谁是攻击的幕后黑手：获取IP，来源，使用过的TTP以及黑客隐藏的其他足迹。
• 关于如何防止这种攻击的计划。

恶意软件分析的类型

静态和动态恶意软件分析

恶意软件分析的关键步骤

在这五个步骤中，调查的主要重点是尽可能多地了解恶意样本，执行算法以及恶意软件在各种情况下的工作方式。

我们认为，分析恶意软件最有效的方法是混合使用静态和动态方法。以下是有关如何进行恶意软件分析的简短指南。只需按照以下步骤操作：

步骤 1.设置虚拟机

你可以自定义具有特定要求（如浏览器、微软 Office）、选择操作系统位数和区域设置等 VM。添加用于分析的工具并将其安装在您的虚拟机中：FakeNet，MITM代理，Tor，VPN。但是我们可以在任何方面都轻松做到这一点。运行沙盒。

步骤2.查看静态属性

这是静态恶意软件分析的阶段。在不运行可执行文件的情况下检查它：检查字符串以了解恶意软件的功能。哈希、字符串和标头的内容将提供恶意软件意图的概述。

例如，在下面的屏幕截图中，我们可以看到表单手册示例的哈希、PE 标头、MIME 类型和其他信息。若要简要了解功能，我们可以查看恶意软件分析示例中的“导入”部分，其中列出了所有导入的 DLL。

第3步.监控恶意软件行为

以下是恶意软件分析的动态方法。在安全的虚拟环境中上传恶意软件示例。直接与恶意软件交互，使程序执行并观察其执行情况。检查网络流量、文件修改和注册表更改。以及任何其他可疑事件。

在我们的在线沙盒示例中，我们可能会查看网络流内部，以接收骗子的凭据信息到C2以及从受感染机器窃取的信息。

审查被盗数据

步骤 4.分解代码

如果威胁参与者对代码进行模糊处理或打包，请使用去混淆技术和逆向工程来显示代码。确定在前面的步骤中未公开的功能。即使只是寻找恶意软件使用的功能，您也可能会说很多关于其功能的信息。例如，功能“互联网打开UrlA”指出此恶意软件将与某些外部服务器建立连接。

在此阶段需要其他工具，如调试器和反汇编器。

第5步.编写恶意软件报告。

包括您发现的所有发现和数据。提供以下信息：

• 您的研究摘要，包括恶意程序的名称，来源和关键功能。
• 有关恶意软件类型、文件名、大小、哈希值和防病毒检测能力的一般信息。
• 描述恶意行为，感染算法，传播技术，数据收集和С2通信方式。
• 必要的操作系统位数、软件、可执行文件和初始化文件、DLL、IP 地址和脚本。
• 查看行为活动，例如它从何处窃取凭据，如果它修改、删除或安装文件、读取值和检查语言。
• 代码分析结果，标头数据。
• 屏幕截图、日志、字符串行、摘录等
• 国际奥委会。

交互式恶意软件分析

现代防病毒软件和防火墙无法应对未知威胁，例如针对性攻击、零日漏洞、高级恶意程序以及具有未知签名的危险。所有这些挑战都可以通过交互式沙盒来解决。

互动性是我们服务的主要优势。使用任何。RUN 您可以直接处理可疑示例，就像在个人计算机上打开它一样：单击，运行，打印，重新启动。您可以使用延迟的恶意软件执行，并制定不同的方案以获得有效的结果。

在调查期间，您可以：

• 获得交互式访问：像在个人计算机上一样使用 VM：使用鼠标、输入数据、重新启动系统和打开文件。
• 更改设置：预安装的软集，具有不同位数和构建的多个操作系统已准备就绪。
• 为您的虚拟机选择工具：假网络，MITM代理，Tor，开放VPN。
• 研究网络连接：拦截数据包并获取 IP 地址列表。
• 即时访问分析：VM 立即启动分析过程。
• 监控系统进程：实时观察恶意软件行为。
• 收集国际奥委会： IP地址，域名，哈希值等可用。
• 获取ATT@CK矩阵：详细查看 TTP。
• 有一个流程图：评估图表中的所有流程。
• 下载现成的恶意软件报告：以方便的格式打印所有数据。

所有这些功能都有助于揭示复杂的恶意软件并实时查看攻击的解剖结构。

尝试使用交互式方法破解恶意软件。如果您使用任何。运行沙盒，您可以进行恶意软件分析并享受快速结果，简单的研究过程，调查甚至复杂的恶意软件，并获得详细的报告。按照步骤操作，使用智能工具并成功搜寻恶意软件。