网络安全知识体系1.1恶意软件和攻击技术(六):恶意软件分析

admin 2022年6月20日10:16:22评论33 views字数 874阅读2分54秒阅读模式

3  恶意软件分析

分析恶意软件有很多好处。

首先,我们可以了解恶意软件要执行的预期恶意活动。这将使我们能够更新我们的网络和端点传感器以检测和阻止此类活动,并确定哪些计算机具有恶意软件并采取纠正措施,例如将其删除甚至完全擦除计算机并重新安装所有内容。

其次,通过分析恶意软件结构(例如,它所包含的库和工具包)和编码风格,我们可能能够获得对归因可能有用的信息,这意味着能够识别可能的作者和操作员。

第三,通过将其与历史和地理位置数据进行比较,我们可以更好地了解和预测恶意软件攻击的范围和趋势,例如,什么样的活动(例如,挖掘加密货币)正在上升,如果网络犯罪正在从一个地区转移到另一个地区。

简而言之,恶意软件分析是检测和响应网络攻击的基础。

网络安全知识体系1.1恶意软件和攻击技术(六):恶意软件分析

恶意软件分析通常涉及在分析环境中运行恶意软件实例。有一些方法可以捕获”感染站点上的恶意软件实例。网络传感器可以检查通信量(例如,Web通信量、电子邮件附件)以识别可能的恶意软件(例如,包含来自信誉不佳的网站的二进制或类似程序的数据的有效负载),并在沙盒中运行它以进行确认。

如果网络传感器能够检测到来自内部主机的传出恶意流量,则基于主机的传感器可以进一步识别负责此类通信量的程序,即恶意软件。还有恶意软件收集和共享工作,受信任的组织可以上传在其网络中发现的恶意软件样本,还可以接收其他组织提供的样本。学术研究人员通常只需获取恶意软件样本,而无需贡献。

在获取和共享恶意软件样本时,我们必须仔细考虑我们的法律和道德责任。例如,我们必须保护从中捕获恶意软件样本的感染站点的身份,并且不得与任何组织共享恶意软件样本是未知实体,或者没有安全分析恶意软件的承诺或技术能力

恶意软件分析管道通常包括以下步骤:

1)识别恶意软件样本的格式(例如,二进制或源代码,Windows或Linux等)

2)静态使用反汇编(如果恶意软件是二进制格式)、程序分析、文件内容的统计分析等进行分析,以及

3)使用分析环境进行动态分析。步骤23可以组合和迭代。

原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1恶意软件和攻击技术(六):恶意软件分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月20日10:16:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识体系1.1恶意软件和攻击技术(六):恶意软件分析http://cn-sec.com/archives/1128788.html

发表评论

匿名网友 填写信息