出于以下几个原因,恶意软件分析对于网络安全至关重要:
- 检测和识别恶意软件:恶意软件旨在逃避安全工具的检测和分析。恶意软件分析有助于识别恶意软件的存在、确定其行为并按类型对其进行分类,例如特洛伊木马、病毒、蠕虫或勒索软件。
- 了解恶意软件的功能:恶意软件分析可以深入了解恶意软件的功能及其运作方式。此信息对于制定针对恶意软件的有效对策至关重要。
- 识别恶意软件的来源:恶意软件分析可以帮助识别恶意软件的来源,无论是个人还是有组织的团体。这些信息对于执法和情报机构追踪和起诉网络犯罪分子至关重要。
因此,如果您想提升自己作为网络安全专家的职业,恶意软件分析专业知识至关重要。你猜怎么着,恶意软件分析不仅仅是将文件提交给 Virus total。
TrIDNet
尽管是一个较旧的实用程序,但 TrIDNet 仍被广泛使用。如果您正在处理文件并且不确定其类型,那么毫无疑问需要 TrIDNet。您正在处理 .doc、.zip、.exe 还是您不知道?您可以看到它在此应用程序中使用的文件类型。您所要做的就是将文件附加到 TrIDNet。
Exeinfo PE
Exeinfo PE 是另一个很棒的恶意软件分析工具。该工具与 TrIDNet 有所不同。当您将可疑文件提交给 Exeinfo PE 时,该工具会告诉您该文件的类型以及该可疑文件是否已打包或解包。如果打包了恶意软件,则意味着您需要将其解包。Exeinfo PE 可能会告诉您需要使用哪种技术来解包。
在这种情况下,它声明恶意软件没有打包,所以你可以使用 Lamer 信息。
在第二个示例中,我们看到恶意软件已打包。答对了!Exeinfo PE 帮助我们了解将要使用的解包技术。
https://github.com/ExeinfoASL/ASL
PE studio
当然,PE工作室是这个领域最受欢迎的实体。如果您想在不运行恶意软件的情况下分析它,PE studio 是一个很棒的工具。在 PE Studio 中可以找到很多有用的信息,例如“指标、库和导入”。此外,恶意软件调查的一个基本要素是字符串分析,PE Studio 可以帮助您进行分析。当我分析恶意软件时,我通常从“字符串、导入、库和指标部分”开始
Detect it Easy
DIE 也称为 Detect it Easy。DIE 可以为您提供有关恶意软件样本的大量详细信息。例如,散列值和字符串值也是十六进制值。如果您要进行手动拆包,入口点可能会有用。我通常使用此工具来查看恶意软件是否已打包。提交后,单击此按钮后会出现名为“熵”的按钮,您将看到“状态”。
https://github.com/horsicq/Detect-It-Easy
