靜態分析:靜態分析方法是在沒有運行計算機病毒時,
對其進行分析的相關技術。常用的分析工具有VirusTotal、strings、IDA pro等。
動態分析:動態分析方法則需要運行計算機病毒。常用的分析工具有RegShot、Process Monitor、OllyDbg等。
這兩類技術又進一步分為基礎分析和高級分析。
1. 靜態分析基礎技術
靜態分析基礎技術包括分析病毒可執行文件,但不查看具體CPU指令的分析技術。常用的分析工具有VirusTotal、strings等。非常快速、簡單。難以分析複雜的計算機病毒,而且可能會漏掉一些重要的行為。
2. 動態分析基礎技術
動態分析基礎技術通過運行計算機病毒,分析病毒在系統和網絡上的行為,提取病毒的特徵碼。需要建立安全分析環境。快速、簡單。也漏掉一些重要病毒功能。
3. 靜態分析高級技術
對計算機病毒內部機制的逆向工程,通過將可執行文件裝載到反彙編器中,查看程序CPU指令,來分析病毒到底做了什麼。深入分析計算機病毒。需要掌握彙編語言、Windows系統編程等知識。易受代碼混淆技術的干擾,例如加殼、花指令等。
4. 動態分析高級技術
使用調試器來分析一個病毒運行時刻的內部狀態。動態執行每一條指令,驗證靜態高級分析的結果。可以緩解代碼混淆的干擾。只能覆蓋一條計算機病毒的執行軌跡。
5. 惡意代碼分析通用規則
首先,不要過於陷入細節,關注主要功能。你應該在進入細節之前有一個概要性的理解。
其次,嘗試多從不同角度,多使用不同工具和方法來分析惡意代碼。
最後,惡意代碼分析就像是貓抓老鼠的遊戲,應該能夠快速地應對惡意代碼的新變化。
- 木馬與病毒的重大區別是(木馬不具感染性)。
- 惡意代碼指的是(任何對用戶、計算機或網絡造成破壞的軟件)。
- 網絡黑客產業鏈是指黑客們運用技術手段入侵服務器獲取站點權限以及各類賬戶信息並從中謀取(非法經濟利益)的一條產業鏈。
- 惡意代碼分析目標是(對可疑程序進行深入分析,確定該程序是否有惡意行為;定位被感染的機器或者文件;衡量並消除惡意代碼對系統造成的破壞)。
- 蠕蟲與普通病毒相比特有的性質為(不利用文件寄生)。
- 蠕蟲病毒的傳染目標是(互聯網內的所有計算機)。
- 轟動全球的震網病毒是(蠕蟲病毒)。
- 高級靜態分析技術主要是對惡意代碼內部機制的(逆向工程),通過將可執行文件裝載到反彙編器中,查看反彙編指令,來分析惡意代碼到底做了什麼。
- Rootkit是用來隱藏(其它惡意代碼)的程序。
- 惡意代碼分析過程中在進入細節分析之前對惡意代碼要有一個概要性的理解;嘗試從不同角度,使用不同工具和方法來分析惡意代碼;先使用(基本的動態和靜態分析)工具,定位可疑的靜態和動態特徵,不建議對全部反彙編指令直接進行逐行分析。
- 計算機病毒數量的變化趨勢是(不斷增多)。
- 病毒能夠自我執行和自我複製。
- 蠕蟲是利用文件寄生來通過網絡傳播的惡性病毒。
- 木馬不具有欺騙性,而具有隱蔽性和非授權性。
- 主機特徵碼關注是惡意代碼對系統做什麼,而病毒特徵碼關注惡意代碼本身的特性。
- 網絡特徵碼可以在沒有進行惡意代碼分析時創建,但在惡意代碼分析幫助下提取的特徵碼往往更加有效的,可以提供更高的檢測率和更少的誤報。
- 基礎靜態分析技術的分析速度快,但針對複雜的惡意代碼時很大程度上是無效的,而且它可能會錯過一些重要的行為。
- 隨着具有可編程能力的智能設備不斷出現,計算機病毒的感染範圍在不斷擴大,除了傳統的計算機和智能手機,病毒已經可以感染打印機、智能家居設備等,甚至可以對國家基礎設施的智能電網、智慧城市系統進行攻擊。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/228036.html
微信掃一掃 
支付寶掃一掃 