什么是恶意软件分析？定义和概述恶意软件分析过程

恶意软件分析是了解恶意软件如何运作以及给定恶意软件的任何潜在影响的过程。恶意软件代码可以根本不同，知道恶意软件可以具有许多功能是必要的。这些可能以病毒，蠕虫，间谍软件和特洛伊木马的形式出现。每种类型的恶意软件在用户不知情或未授权的情况下收集有关受感染设备的信息。

用于恶意分析的案例

计算机安全事件管理：如果组织认为恶意软件可能已进入其系统，则响应团队将对此情况作出反应。接下来，他们希望对发现的任何潜在恶意文件执行恶意软件分析。然后，这将确定它是否确实是恶意软件，类型以及它可能对各个组织的系统产生的影响。

恶意软件研究：恶意软件研究人员在学术或行业论坛上执行恶意软件分析。这可以最好地了解恶意软件的工作原理以及创建过程中使用的最新方法。

破坏指标（IOC）提取：软件解决方案和产品的销售商可以进行批量恶意软件分析，以确定潜在的新的破坏指标，从而帮助组织抵御恶意软件攻击。
恶意软件分析的四个阶段

调查恶意软件是一个需要采取一些步骤的过程。这四个阶段形成了一个复杂的金字塔。越接近金字塔顶端，阶段越来越复杂，实现它们所需的技能也越来越少。在这里，我们从底部开始，向您展示在发现恶意软件的过程中的每一步。

全自动分析：评估可疑程序的最简单方法之一是使用全自动化工具进行扫描。全自动化工具能够快速评估恶意软件渗入系统时的能力。此分析能够生成有关网络流量，文件活动和注册表项的详细报告。尽管全自动分析不能提供与分析师一样多的信息，但它仍然是筛选大量恶意软件的最快方法。

静态属性分析：为了更深入地了解恶意软件，必须查看其静态属性。访问这些属性很容易，因为它不需要运行潜在的恶意软件，这需要更长的时间。静态属性包括哈希，嵌入字符串，嵌入式资源和标头信息。这些房产应该能够显示妥协的基本指标。

交互式行为分析：为了观察恶意文件，可能经常将其放在隔离的实验室中，看它是否直接感染实验室。分析师会经常监控这些实验室，看看恶意文件是否试图连接到任何主机。有了这些信息，分析师就可以复制情况，看看恶意文件连接到主机后会做什么，这使他们比使用自动化工具的人更有优势。

手动代码逆向：逆向恶意文件的代码可以解码样本存储的加密数据，确定文件域的逻辑，并查看在行为分析期间未显示的文件的其他功能。为了手动逆向代码，需要恶意软件分析工具，如调试器和反汇编程序。完成手动代码逆向所需的技能非常重要，但也很难找到。

更多内容，参阅https://via-dean.com详述