כדי להיות מנתח תוכנה זדונית, הידע המינימלי הדרוש בדרך כלל הוא:

• שפת הרכבה
• תוכנות פנימיות של מערכת ההפעלה
• דיאובוזציה ואנטי אנטי -טכניקות ניפוי-ניפוי

ברור שיש תחומי ידע שימושיים אחרים לניתוח תוכנות זדוניות (כמו הבנה של פרוטוקולי רשת, טכניקות ניתוח ניצול, הכרת קוד VB P ו- JavaScript ושפות NET. וכו '), אבל נראה שאתה מתקדם;)

את רוב הדברים שתצטרך לדעת תלמד בדרך. לדוגמא, יתכן שתיתקל בדגימת תוכנה זדונית המנצלת את נגן Adobe Flash. זה ייתן לך את ההזדמנות ללמוד על פורמט הקובץ SWF, מקור ה- ActionScript וקוד התיקיה וכו '

FROM SANS.ORG

כאשר דנים בניתוח תוכנות זדוניות, ישנם 3 שלבים עיקריים בתהליך: ניתוח התנהגות, ניתוח קוד וניתוח זיכרון.

הנה מתווה קצר של כל שלב:

• ניתוח התנהגות

  בוחן את האינטראקציות של הדגימה הזדונית עם סביבתה: מערכת הקבצים , הרישום (אם ב- Windows), הרשת, כמו גם תהליכים ורכיבי מערכת הפעלה אחרים. מכיוון שחוקר התוכנות הזדוניות מבחין במאפיינים התנהגותיים מעניינים, הוא משנה את סביבת המעבדה כדי לעורר מאפיינים חדשים. כדי לבצע עבודה זו, המחקר מדביק בדרך כלל את המערכת המבודדת תוך כדי כלי הניטור הדרושים להתבונן בביצוע הדגימה. חלק מהכלים החינמיים שיכולים לעזור בשלב ניתוח זה הם Monitor Monitor, Process Explorer, RegShot ו- Wireshark. כמה כלים מקוונים בחינם יכולים להפוך כמה היבטים של ניתוח התנהגות לאוטומטי; ישנן גם מספר מסגרות חינמיות בהן ניתן להשתמש כדי לתסריט את תהליך הניתוח במעבדה מקומית.

• ניתוח קוד

  הפוך -מהנדסים את התוכנית הזדונית כדי להבין את הקוד המיישם את התנהגות הדגימה. כאשר מסתכלים על תוכניות מהודרות, תהליך זה כולל שימוש בפירוק, באגים ואולי בפירוק כדי לבחון את ההרכבה ברמה הנמוכה של התוכנית או הוראות קוד בתים. מפרק ממיר את ההוראות מצורתם הבינארית להרכבה הקריאה על ידי האדם. טופס. קומפיילר מנסה ליצור מחדש את קוד המקור המקורי של התוכנית. ניפוי באגים מאפשר לאנליסט לעבור בין החלקים המעניינים ביותר בקוד, לתקשר איתו ולבחון את ההשפעות של הוראותיו כדי להבין את מטרתם. OllyDbg ו- IDA Pro Freeware הם מפרקים / ניפוי באגים פופולריים בחינם שיכולים להתמודד עם תוכניות Windows.

• ניתוח זיכרון

  בוחן את הזיכרון של המערכת הנגועה כדי לחלץ חפצים הרלוונטיים לתוכנית הזדונית. בהקשר של תוכנות זדוניות מהנדס לאחור, ניתוח זיכרון יכול לסייע בזיהוי קוד זדוני שמנסה להסתיר את עצמו (כלומר, ערכות root), יכול להבהיר את תלות זמן הריצה של התוכנית, ולהסביר כיצד נעשה שימוש בדגימה במערכת הקורבן. ניתוח זיכרון חוסך זמן ומאפשר לחקור את הקיצורי דרך בעת לימוד התנהגות הדגימה או קוד. כלים חינמיים לביצוע ניתוח זיכרון הם The Volatility Framework ותוספות הקשורות לתוכנות זדוניות, כמו גם Memoryze ותוכנית Audit Viewer המשויכת אליו.

אני מקווה שזה יתווסף. ערך לתגובה הנ"ל

כשהתחלתי עם ניתוח תוכנות זדוניות אצל ספק אנטי-וירוס כלשהו. רק הפכתי כמה היבטים של משחקי וידאו ויצרתי מספר כלים לחילוץ גרפיקה וכו '. ידעתי גם מעט על תרבות תוכנה זדונית וכו'. קראתי הרבה קוד מקור של תוכנות זדוניות (vxheavens) וכל הג'אז הזה. / p>

עם זאת, לא ידעתי על ערפול, פריקה, פגז וכו '. זה משהו שלמדתי במהלך כמה שנים תוך כדי העבודה.

עם זאת, הבנה מוצקה של x86 ונדרש איתור באגים / דיס-אסמבלר!