Statická analýza škodlivého softwaru a dynamická analýza škodlivého softwaru
Analýza škodlivého softwaru je proces nebo technika určení původu a potenciálního dopadu specifikovaného malwaru. Malware by mohlo být něco, co vypadá škodlivě nebo se chová jako jeden jako virus, červ, chyba, trojan, spyware, adware atd. Každý podezřelý software, který může způsobit poškození vašeho systému, lze považovat za malware. Bez ohledu na rostoucí používání softwarových programů proti malwaru je svět svědkem rychlého vývoje malware útoků. Všechno, co je připojeno k internetu, je náchylné k napadení malware.
Detekce malwaru stále představuje výzvu, protože potenciální útočníci naleznou nové a pokročilé způsoby, jak uniknout metodám detekce. Zde se objevuje analýza malwaru.
Analýza škodlivého softwaru umožňuje lépe porozumět tomu, jak malware funguje a co lze udělat k odstranění těchto hrozeb. Analýza malwaru může být provedena s různými cíli, jako je pochopení rozsahu infekce malware, poznání důsledků napadení malware, identifikace povahy malware a určení funkčnosti malwaru.
Existují dva typy metod detekce a analýzy škodlivého softwaru: Statická analýza malwaru a dynamická analýza škodlivého softwaru. Statická analýza zahrnuje vyšetření daného vzorku malware bez toho, aby ho vlastně běžel, zatímco dynamická analýza se provádí systematicky v kontrolovaném prostředí. Předkládáme objektivní srovnání těchto dvou, abychom vám lépe porozuměli metodám analýzy malwaru.
Co je Statická analýza škodlivého softwaru?
Statická analýza je proces analýzy binární malware bez skutečného spuštění kódu. Statická analýza se obecně provádí určením podpisu binárního souboru, který je jedinečnou identifikací binárního souboru, a lze jej provést výpočtem šifrovacího hash souboru a porozumění každé komponentě.
Binární soubor s malwarem může být reverzně inženýrován načtením spustitelného souboru do disassembleru, jako je IDA. Strojově spustitelný kód lze převést na kód jazyka sestavy tak, aby ho lidé snadno četli a pochopili. Analytik se pak podívá na program, aby lépe porozuměl tomu, co je schopen a co je naprogramováno.
Co je dynamická analýza škodlivého softwaru?
Dynamická analýza zahrnuje spuštění problému malwaru a sledování jeho chování v systému za účelem odstranění infekce nebo zastavení šíření do jiných systémů. Systém je nastaven v uzavřeném, izolovaném virtuálním prostředí, takže vzorek malwaru může být důkladně studován bez rizika poškození vašeho systému.
Při pokročilé dynamické analýze lze použít ladicí program k určení funkčnosti spustitelného softwaru, který by jinak byl obtížný při použití jiných technik. Na rozdíl od statické analýzy je to založené na chování, takže je těžké vynechat důležité chování.
Rozdíl mezi statickou a dynamickou analýzou škodlivého softwaru
Význam statické a dynamické analýzy škodlivého softwaru
Malware se může chovat jinak, v závislosti na tom, co je naprogramováno, čímž je ještě důležitější pochopit jejich funkce. Existují v zásadě dva způsoby: Statická analýza a dynamická analýza. Statická analýza je proces určení původu škodlivých souborů, aby bylo možné porozumět jejich chování bez skutečného spuštění malwaru. Dynamická analýza je naopak podrobnějším procesem detekce a analýzy škodlivého softwaru v kontrolovaném prostředí a celý proces je sledován tak, aby sledoval chování škodlivého softwaru.
Analýza
Statická analýza škodlivého softwaru je poměrně jednoduchý a přímý způsob, jak analyzovat vzorek malwaru bez toho, aby jej skutečně prováděl, takže proces nevyžaduje, aby analytik prošel každou fází. Jednoduše sleduje chování škodlivého softwaru, aby zjistil, co je schopen nebo co může do systému udělat. Dynamická analýza škodlivého softwaru na druhé straně zahrnuje důkladnou analýzu pomocí chování a akcí vzorku malwaru při provádění tak, aby lépe pochopila vzorek. Systém je nastaven v uzavřeném a izolovaném prostředí se správným sledováním.
Technika zapojená do statické a dynamické analýzy škodlivého softwaru
Statická analýza zahrnuje analýzu podpisu malinového binárního souboru, který je jedinečnou identifikací binárního souboru. Binární soubor může být reverzně inženýrován pomocí disassembleru, jako je IDA, který převede stroj-spustitelný kód do kódu jazyka sestavy, aby byl lidsky čitelný. Některé z technik, které se používají při statické analýze, jsou otisky prstů, antivirové kontroly, výpadky paměti, detekce zablokování a ladění. Dynamická analýza zahrnuje analýzu chování škodlivého softwaru v prostředí karantény tak, aby neovlivňovala ostatní systémy. Manuální analýza je nahrazena automatizovanou analýzou prostřednictvím komerčních karanténních boxů.
Přístup
Statická analýza používá přístup založený na podpisu k detekci a analýze malwaru. Podpis není nic jiného než jedinečný identifikátor specifického malwaru, který je sekvencí bajtů. Pro skenování podpisů se používají různé vzory. Antimalwarové programy založené na podpisu jsou účinné proti nejčastějším typům škodlivého softwaru, ale jsou neúčinné proti sofistikovanému a pokročilému škodlivému softwaru. Zde se objevuje dynamická analýza.Namísto přístupu založeného na podpisu využívá dynamická analýza přístup založený na chování pro určení funkčnosti malware zjišťováním činností provedených daným malwarem.
Statická vs. dynamická analýza škodlivého softwaru: Srovnávací graf
Přehled statických Vs. Dynamická analýza škodlivého softwaru
Detekce, identifikace a předběžná analýza jsou rozhodující pro analýzu malwaru a je velmi důležité provést analýzu systému, která by omezila šíření malwaru tak, aby se zabránilo šíření do jiných produktivních systémů nebo souborů a adresářů. V tomto článku jsme porovnávali techniky detekce malwaru založené na statické a dynamické analýze malwaru. Oba jsou široce používané techniky detekce malwaru, s výjimkou, že statická analýza využívá přístup založený na podpisu, zatímco dynamická analýza používá přístup založený na chování při detekci malwaru. Bez ohledu na techniku, která se používá k detekci malwaru, obě metody nám umožňují lépe porozumět tomu, jak malware funguje a co s ní můžeme dělat.