Static Malware Analysis at Dynamic Malware Analysis

Anonim

Ang pagsusuri ng malware ay isang proseso o pamamaraan ng pagtukoy sa pinanggalingan at potensyal na epekto ng isang tinukoy na sample ng malware. Malware ay maaaring maging anumang bagay na mukhang malisyoso o gumaganap tulad ng isang tulad ng isang virus, worm, bug, Trojan, spyware, adware, atbp Anumang mga kahina-hinalang software na maaaring maging sanhi ng pinsala sa iyong system ay maaaring isaalang-alang bilang isang malware. Anuman ang pagtaas ng paggamit ng mga programa ng software ng anti-malware, ang mundo ay sumasaksi sa mabilis na ebolusyon sa pag-atake ng malware. Ang anumang bagay na nakakonekta sa Internet ay madaling kapitan ng pag-atake sa malware.

Ang pagtuklas ng malware ay patuloy na nagpapakita ng hamon habang ang mga potensyal na attackers ay makahanap ng mga bago at advanced na mga paraan upang makatakas mula sa mga pamamaraan ng pagtuklas. Ito ay kung saan ang pagtatasa ng malware ay dumating sa larawan.

Ang pag-aaral ng malware ay nagbibigay ng isang mas mahusay na pag-unawa sa kung paano ang isang malware function at kung ano ang maaaring gawin upang maalis ang mga banta. Ang pagtatasa ng malware ay maaaring gawin sa iba't-ibang mga layunin sa isip upang maunawaan ang lawak ng impeksyon sa malware, upang malaman ang mga epekto ng atake ng malware, upang matukoy ang kalikasan ng malware, at upang matukoy ang mga pag-andar ng malware.

Mayroong dalawang uri ng mga pamamaraan na ginagamit para sa pagtuklas at pagtatasa ng malware: Static Malware Analysis at Dynamic Malware Analysis. Isinangkot ang static na pagsusuri sa pagsusuri sa ibinigay na sample ng malware nang hindi talaga tumatakbo ito, samantalang ang Dynamic na pagsusuri ay isinasagawa nang sistematikong sa isang kinokontrol na kapaligiran. Nagpapakita kami ng walang pinapanigan na paghahambing sa pagitan ng dalawa upang matulungan kang mas mahusay na maunawaan ang mga paraan ng pagtatasa ng malware.

Ano ang Static Malware Analysis?

Ang static na pagsusuri ay isang proseso ng pag-aaral ng isang binary ng malware nang hindi aktwal na tumatakbo ang code. Ang pangkalahatang pagsusuri ay karaniwang ginagawa sa pamamagitan ng pagtukoy sa lagda ng binary file na isang natatanging pagkakakilanlan para sa binary file at maaaring gawin sa pamamagitan ng pagkalkula ng cryptographic na hash ng file at pag-unawa sa bawat bahagi.

Ang binary file ng malware ay maaaring i-reverse-engineered sa pamamagitan ng pag-load ng mga maipapatupad sa isang disassembler tulad ng IDA. Ang code na maipapatupad sa makina ay maaaring i-convert ang code ng pagpupulong ng wika upang madali itong mabasa at maunawaan ng mga tao. Ang analyst ay tinitingnan ang programa upang magkaroon ng isang mas mahusay na pag-unawa sa kung ano ito ay may kakayahang at kung ano ito ay programmed na gawin.

Ano ang Pagsusuri ng Dynamic Malware?

Ang pagsasama-sama ng dynamic na pagsasangkot ay pagpapatakbo ng sample ng malware at pagmamasid sa pag-uugali nito sa system upang alisin ang impeksiyon o ihinto ito mula sa pagkalat sa iba pang mga sistema. Ang sistema ay naka-setup sa isang sarado, nakahiwalay na virtual na kapaligiran upang ang sample ng malware ay maaralan nang lubusan nang walang panganib na pinsala sa iyong system.

Sa advanced dynamic analysis, isang debugger ang maaaring magamit upang matukoy ang pag-andar ng executable ng malware na kung hindi man ay mahirap makuha ang paggamit ng ibang mga diskarte. Hindi tulad ng static na pagtatasa, ito ay batay sa pag-uugali kaya napakahirap na makaligtaan ang mga mahahalagang pag-uugali.

Pagkakaiba sa pagitan ng Static at Dynamic Malware Analysis

Kahulugan ng Static at Dynamic Malware Analysis

Maaaring kumilos nang magkakaiba ang malware depende sa kung ano ang kanilang na-program na gawin na ginagawang mas mahalaga ang lahat upang maunawaan ang kanilang mga pag-andar. Mayroong karaniwang dalawang paraan upang gawin ito: Static Analysis and Dynamic Analysis. Ang static na pagsusuri ay isang proseso ng pagtukoy sa pinagmulan ng mga nakakahamak na file upang maunawaan ang kanilang pag-uugali nang hindi aktwal na isinasagawa ang malware. Ang dynamic na pagtatasa, sa kabilang banda, ay isang mas detalyadong proseso ng pagtuklas ng malware at pagsusuri na isinagawa sa isang kinokontrol na kapaligiran at ang buong proseso ay sinusubaybayan upang obserbahan ang pag-uugali ng malware.

Pagsusuri

Ang static malware analysis ay isang medyo simple at tapat na paraan upang pag-aralan ang isang sample ng malware nang hindi aktwal na isinasagawa ito upang ang proseso ay hindi nangangailangan ng analyst na dumaan sa bawat at bawat bahagi. Sinasalamin lamang nito ang pag-uugali ng malware upang matukoy kung ano ang kaya nito o kung ano ang magagawa nito sa system. Ang pagtatasa ng Dynamic na malware, sa kabilang banda, ay nagsasangkot ng masusing pag-aaral gamit ang pag-uugali at pagkilos ng sample ng malware habang nasa pagpapatupad upang magkaroon ng mas mahusay na pag-unawa sa sample. Ang sistema ay naka-setup sa isang sarado at nakahiwalay na kapaligiran na may tamang pagsubaybay.

Diskarte na kasangkot sa Static at Dynamic Malware Analysis

Isinangkot ang static na pagsusuri sa pag-aaral ng pirma ng binary file ng malware na isang natatanging pagkakakilanlan para sa binary file. Ang binary file ay maaaring baligtarin-engineered gamit ang isang disassembler tulad ng IDA upang i-convert ang machine-maipapatupad na code sa pagpupulong wika code upang gawin itong tao nababasa. Ang ilan sa mga pamamaraan na ginagamit para sa static na pagtatasa ay ang file fingerprinting, pag-scan ng virus, paglalaglag ng memorya, pag-detect ng packer, at pag-debug. Ang pagsasama-sama ng dinamika ay nagsasangkot ng pagsusuri sa pag-uugali ng malware sa isang sandbox na kapaligiran upang hindi ito makakaapekto sa ibang mga system. Ang mano-manong pagsusuri ay pinalitan ng automated na pagtatasa sa pamamagitan ng mga komersyal na sandbox.

Lapitan

Ang Static analysis ay gumagamit ng isang diskarte na nakabatay sa lagda sa pagtuklas at pagtatasa ng malware. Ang isang lagda ay walang anuman kundi isang natatanging tagatukoy para sa isang tiyak na malware na isang pagkakasunud-sunod ng mga byte. Ang iba't ibang mga pattern ay ginagamit upang i-scan para sa mga lagda. Ang mga programang antimalware na nakabatay sa lagda ay epektibo laban sa mga karaniwang karaniwang uri ng malware, ngunit hindi epektibo laban sa mga sopistikadong at advanced na mga programang malware. Ito ay kung saan ang dynamic na pag-aaral ay nagmumula sa larawan.Sa halip na isang diskarte na nakabatay sa lagda, ang dynamic analysis ay gumagamit ng diskarte na nakabatay sa pag-uugali upang matukoy ang pag-andar ng malware sa pamamagitan ng pag-aaral sa mga pagkilos na isinagawa ng ibinigay na malware.

Static vs. Dynamic Malware Analysis: Paghahambing Tsart

Buod ng Static Vs. Dynamic Malware Analysis

Ang pagkakakilanlan, pagkakakilanlan, at paunang pagtatasa ay napakahalaga sa pagtatasa ng malware at lubhang kinakailangan upang magpatakbo ng isang pagtatasa ng sistema upang maglaman ng pagkalat ng malware upang itigil ito mula sa pagkalat sa iba pang mga produktibong sistema o mga file at mga direktoryo. Sa artikulong ito, inihambing namin ang mga diskarte sa pagtuklas ng malware batay sa static at dynamic na malware analysis. Ang parehong ay ang malawakang ginagamit na mga diskarte para sa pagtuklas ng malware, maliban sa static na pagsusuri ay gumagamit ng isang diskarte na nakabatay sa lagda samantalang ang dynamic na pagsusuri ay gumagamit ng diskarte na nakabatay sa pag-uugali sa pagtuklas ng malware. Anuman ang pamamaraan na ginagamit para sa pagtuklas ng malware, ang parehong pamamaraan ay nagpapahintulot sa amin na magkaroon ng isang mas mahusay na pag-unawa sa kung paano ang mga pag-andar ng malware at kung ano ang maaari naming gawin tungkol dito.