Частина 1: Цілі

Для обговорення основ реверс-інжинірингу важливе значення має поняття сучасного аналізу шкідливого програмного забезпечення. Аналіз шкідливого програмного забезпечення — це розуміння та вивчення інформації, необхідної для реагування на вторгнення в мережу.

Цей короткий підручник розпочнеться з основних понять реверс-інжинірингу шкідливого програмного забезпечення і перейде до базового вивчення мови асемблера.

Ключі до королівства, так би мовити, полягають у розбитті відповідного підозрілого бінарного файлу шкідливого програмного забезпечення, у тому, як знайти його у вашій мережі і, зрештою, у тому, як його локалізувати.

Після повної ідентифікації файлів, необхідних для більш глибокого аналізу, дуже важливо розробити сигнатури для виявлення заражень шкідливим програмним забезпеченням у всій мережі, будь то домашня локальна мережа або складна корпоративна глобальна мережа, для якої аналіз шкідливого програмного забезпечення необхідний для розробки сигнатур на основі хоста та мережі.

Щоб розпочати з поняття сигнатури на основі хоста, нам потрібно зрозуміти, що вони використовуються для пошуку шкідливого коду в цільовій машині. Сигнатури на основі хосту також називають індикаторами, які можуть ідентифікувати файли, створені або відредаговані зараженим кодом, який може вносити приховані зміни в реєстр комп'ютера. Це значно відрізняється від антивірусних сигнатур, оскільки вони зосереджуються на тому, що насправді робить шкідливе програмне забезпечення, а не на його структурі, що робить їх більш ефективними у виявленні шкідливого програмного забезпечення, яке може мігрувати або було видалено з носія.

На відміну від цього, мережеві сигнатури використовуються для пошуку шкідливого коду шляхом аналізу мережевого трафіку. Важливо зазначити, що такі інструменти, як WireShark та подібні, часто є ефективними в такому аналізі.

Після ідентифікації вищезазначених сигнатур наступним кроком є визначення того, що насправді робить шкідливе програмне забезпечення.

У наступному уроці ми обговоримо методи аналізу шкідливого програмного забезпечення.

results matching ""

    No results matching ""