Ha rosszindulatú programokkal foglalkozó elemző szeretne lenni, akkor a legkevesebb szükséges ismeretre van szükség:

• Összeállítási nyelv
• Operációs rendszer belső részei
• Dezinfúzió és anti-anti hibakeresési technikák

Nyilvánvalóan vannak más hasznos ismeretek a rosszindulatú programok elemzéséhez (például a hálózati protokollok megértése, az elemzési technikák kihasználása, a VB P-kód, valamint a JavaScript és .NET nyelvek ismerete) stb.), de úgy tűnik, hogy haladsz;)

A legtöbb dolog, amit tudnod kell, útközben megtanul. Találkozhat például egy rosszindulatú programmal, amely kihasználja az Adobe Flash lejátszót. Ez lehetőséget nyújt arra, hogy megismerje az SWF fájlformátumot, az ActionScript forrást és a bycecode-ot stb.

A SANS.ORG-tól

A rosszindulatú programok elemzésének tárgyalásakor a folyamatnak három fő fázisa van: viselkedéselemzés, kódelemzés és memóriaelemzés.

Az alábbiakban röviden ismertetjük az egyes fázisokat:

• Viselkedési elemzés

  megvizsgálja a kártevő példány környezettel való kölcsönhatását: a fájlrendszert , a rendszerleíró adatbázis (ha Windows rendszeren van), a hálózat, valamint az egyéb folyamatok és az operációs rendszer összetevői. Mivel a rosszindulatú programokat vizsgáló kutató érdekes viselkedési jellemzőket vesz észre, módosítja a laboratóriumi környezetet, hogy új jellemzőket idézzen elő. Ennek a munkának az elvégzéséhez a vizsgálatotípusilag megfertőzi az elszigetelt rendszert, miközben a szükséges ellenőrző eszközökkel megfigyeli a minta végrehajtását. Néhány ingyenes eszköz, amely segíthet ebben az elemzési szakaszban, a Process Monitor, a Process Explorer, a RegShot és a Wireshark. Számos ingyenes on-line eszköz automatizálhatja a viselkedéselemzés egyes aspektusait; számos ingyenes keretrendszer is használható az elemzési folyamat szkripteléséhez egy helyi laboratóriumban.

• Kódelemzés

  fordított -motorok a rosszindulatú programot, hogy megértsék a minta viselkedését megvalósító kódot. Összeállított programok megnézésekor ez a folyamat magában foglalja a szétszerelő, egy hibakereső és esetleg egy dekompilátor használatát a program alacsony szintű összeszerelési vagy byte-kód utasításainak megvizsgálására. A szétszerelő konvertálja az utasításokat bináris formájukból az ember által olvasható összeállítássá forma. A dekompilátor megkísérli újrateremteni a program eredeti forráskódját. A hibakereső lehetővé teszi az elemző számára, hogy áttekintse a kód legérdekesebb részeit, kölcsönhatásba lépjen vele, és figyelje az utasítások hatásait, hogy megértse azok célját. Az OllyDbg és az IDA Pro Freeware népszerű ingyenes szétszerelő / hibakereső, amely képes kezelni a Windows programokat.

• Memóriaelemzés

  megvizsgálja a fertőzött rendszer memóriáját, hogy kivonja a rosszindulatú program szempontjából releváns műtermékeket. A visszafejtéses rosszindulatú programok összefüggésében a memóriaelemzés segíthet azonosítani az önmagát elrejteni próbáló rosszindulatú kódokat (vagyis a rootkiteket), tisztázhatja a program futási idejű függőségeit, és megmagyarázhatja, hogyan használták a mintát az áldozat rendszerén. A memóriaelemzés időt takarít meg, és lehetővé teszi a kivizsgáláshoz, hogy parancsikonokat végezzen a minta viselkedésének vagy kódjának tanulmányozása során. A memóriaelemzés ingyenes eszközei a The Volatility Framework és a rosszindulatú programokkal kapcsolatos bővítmények, valamint a Memoryze és a kapcsolódó Audit Viewer program.

Remélem, hogy ez hozzáadódik Érték a fenti válaszra

Amikor rosszindulatú program-elemzéssel kezdtem néhány vírusirtónál. A videojátékoknak csak néhány aspektusát fordítottam meg, és számos eszközt hoztam létre a grafika stb. Kinyerésére. Ismertem egy csomó rosszindulatú program kultúrát stb. / p>

Én azonban nem tudtam az elfedésről, a kicsomagolásról, a shell-kódról stb. Ez az, amit néhány év alatt megtanultam, miközben dolgoztam.

Azonban egy SZOLID megértés x86 és a hibakereső / dis-assembler szükséges!