Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
będziemożnabezpiecznieuruchomićzłośliweoprogramowanie,należyskonfigurować
środowisko,którepozwoliprzestudiowaćjegodziałaniebezryzykauszkodzeniasyste-
mulubsieci.Podobniejaktechnikipodstawowejanalizystatycznej,technikipodsta-
wowejanalizydynamicznejmogąbyćużywaneprzezwiększośćosóbbezdogłębnej
wiedzynatematprogramowania,aleniebędąskutecznewprzypadkuwszystkichzło-
śliwychprogramówimogąpominąćważnefunkcjonalności.
Zaawansowanaanalizastatyczna
Zaawansowanaanalizastatycznapoleganainżynieriiodwrotnejelementówwewnętrz-
nychmalwarepoprzezzaładowanieplikuwykonywalnegododeasembleraisprawdze-
nieinstrukcjiprogramuwceluodkrycia,coonrobi.Instrukcjesąwykonywaneprzez
CPU,azatemzaawansowanaanalizastatycznadokładnienampowie,corobipro-
gram.Jednaktaanalizamabardziejstromąkrzywąuczeniasięniżpodstawowaanaliza
statycznaiwymagaspecjalistycznejwiedzynatematdeasemblacji,konstrukcjikodu
ikoncepcjisystemuoperacyjnegoWindows,októrychbędziemyuczyćsięwtejksiążce.
Zaawansowanaanalizadynamiczna
Zaawansowanaanalizadynamicznawykorzystujedebuggerdosprawdzaniawewnętrz-
negostanudziałającegozłośliwegoplikuwykonywalnego.Technikizaawansowanej
analizydynamicznejoferująinnysposóbwydobywaniaszczegółowychinformacjizpli-
kuwykonywalnego.Sąonenajbardziejprzydatne,gdypróbujemyuzyskaćinformacje,
któretrudnojestzebraćzapomocąinnychtechnik.Wtejksiążcepokażemy
,jakko-
rzystaćzzaawansowanejanalizydynamicznejwrazzzaawansowanąanaliząstatyczną
wcelupełnejanalizypodejrzanegozłośliwegooprogramowania.
Rodzajezłośliwegooprogramowania
Podczasprzeprowadzaniaanalizymalwareczęstosięokazuje,żemożemyprzyspieszyć
analizę,zgadując,copróbujezrobićzłośliweoprogramowanie,anastępniepotwier-
dzająctehipotezy
.Oczywiścielepiejtozrobimy
,jeślibędziemywiedzieć,jakierzeczy
typoworobimalware.Wtymceluprzedstawiamykategorie,doktórychnależywięk-
szośćzłośliwegooprogramowania:
Backdoor–złośliwykod,któryinstalujesięnakomputerze,abyumożliwićataku-
jącemudostęp;backdooryzazwyczajpozwalająatakującemupołączyćsięzkom-
puteremprzyużyciuprostegouwierzytelnienialubnawetbezuwierzytelnienia
iwykonywaćpoleceniawsystemielokalnym.
Botnet–podobnydobackdoora,ponieważumożliwiaatakującemudostępdo
systemu,alewtymprzypadkuwszystkiemaszynyzainfekowanetymsamymbot-
netemotrzymujątesameinstrukcjezjednegomiejsca,zktóregoodbywasięatak.
Downloader–złośliwykod,któryistniejetylkowcelupobraniainnegozłośli-
wegokodu;programypobierającesązwykleinstalowaneprzezatakujących,gdy
porazpierwszyuzyskujądostępdosystemu;programtypudownloaderpobiera
iinstalujedodatkowyzłośliwykod.
Elementarzanalizymalware
3