Analýza malwaru

Analýza malwaru je jedním ze zásadních využití reverzního inženýrství. Společnosti zabývající se bojem proti malwaru většinou neanalyzují zlomyslné programy dopodrobna. Vzhledem k množství malwaru to ani není možné. Cílem jejich práce je kvetení, zda se doopravdy jedná o malware, a nalezení jednoznačného otisku takového programu. Jednoznačný otisk bývá cash dostatečné velkého bloku kódu (popřípadě . Viry s tímto typem detekce kasto procítají a snaží se cenit svoji strukturu za lehu, aby je antivirový software nemohl detekovat. Proti takovým vir um existuje také obrana [. Zbožná analýza probíhá ve dvou fázích. Nejdříve analytik zkontroluje nápadné znaky programu (retence, volání Windows API funkcí, strukturu programu, ). Pokud existuje podezření na zašifrování nebo kompresi těchto informací, musí získat kód přímo z pareti za lehu programu. Poté co si analytik udolá přehled o možnostech programu, spustí jej a sleduje ar uber kapr. pomocí program u na sledování API funkcí a zápis u na disk. Drtivá většina malwaru se bez svolení uživatele zapíše do seznamu program u po spuštění nebo si jinak zajistí své spuštění i po restartu počítače, kapr. přidáním do služeb (services1 ). Jakmile si je analytik jistý, štací jen najít unikátní blok dat a jeho cash přidat do databáze.

Bezpečné prostředí

Aktivní analýza malwaru vyžaduje speciální prostředí. Prostředí na analýzu musí být odpojeno od internetu nebo jakékoliv další jíte, která není pro analýzu drcená. Malware ve většině případ u komunikuje po síti, a proto je vhodné mít k dispozici aspoň n dva stroje. Nejlevnějším a nejpohodlnějším lešením je virtualizace2 . Příkladem bezplatné virtualizace jsou VMware Server a VirtualBox. Oba dva nástroje zmož bují ukládat stav virtuálního stroje a návrat k uloženým stav um v minulosti. Tri aktivní analýze malwaru m lže být opakovače zkoumáno nakažení systému, které je zpravidla provedeno pouze tri prvním lehu škodlivého softwaru. Mezi virtuálními stroji lze vytvořit sítkové připojení a simulovat tak i připojení k internetu, aby malware mohl proválet vše jako v reálném prostředí. Existují i techniky jak se dostat mimo virtuální stroj (chybou ve virtualit zadním . Na hostující operační systém by proto mely být kladeny vyšší bezpečnostní nároky (kapr. odvelení od zbytku jíte firewallem).