تحلیل بدافزار

تحلیل های متفاوتی بر روی فایل های مخرب و بدخواه انجام می­‌شود، این تحلیل ها به صورت کلی به دو دسته ایستا و پویا تقسیم می­‌شود.

تحلیل ایستا  : تحلیل ایستا به بررسی بدافزار بدون اجرای آن می­‌پردازد. این نوع از تحلیل به دو نوع کلی تحلیل ایستای پایه و تحلیل ایستای پیشرفته تقسیم می­‌شود.

تحلیل ایستای پایه : این نوع از تحلیل به بررسی فایل اجرایی بدون مشاهده کد برنامه اشاره دارد؛ در این نوع تحلیل اطلاعات دقیقی حاصل نمی‌شود، ولی عملکرد بدافزار تا حد زیادی شناخته می‌شود. این تحلیل بسیار سریع بوده ولی به هیچ وجه برای بدافزارهای پیچیده مناسب نیست و قادر به شناسایی کامل بسیاری از آنها نمی‌باشد. از کارهایی که ابزارهای مخصوص در این مرحله انجام می­‌دهند،  می‌توان به موارد زیر اشاره کرد.

  • بررسی توسط آنتی‌ویروس‌ها و بررسی نتایج حاصل؛
  • درهم سازی بدافزار و استفاده از آن به عنوان برچسب بدافزار، به اشتراک گذاشتن آن با سایر تحلیل‌گران جهت کمک برای شناسایی بدافزار، جستجوی آنلاین مقدار چکیده و بررسی اینکه بدافزار مورد نظر تا به امروز شناسایی شده است یا خیر؛
  • جستجوی رشته در فایل‌های باینری؛
  • شناسایی فایل های Pack شده یا Obfuscate  شده؛
  • مشخص کردن وابستگی­های برنامه ؛

مشخص کردن این موارد و بدست آوردن اطلاعات پایه در مورد برنامه می‌تواند به شناسایی اولیه بدافزار کمک شایانی بکند. با این حال در صورتی که این نوع از تحلیل اطلاعات زیادی در اختیار فرد تحلیل کننده قرار ندهد، راهی جز انجام تحلیل‌های پویا و پیشرفته باقی نمی‌ماند.

تحلیل ایستای پیشرفته : در این روش محتوای بدافزار با مهندسی معکوس بررسی می‌شود. در این مرحله بدافزار با استفاده از ابزارهای disassembler  باز شده و محتوای آن به همراه دستورات مورد استفاده مشخص می‌شود. در این مرحله سعی بر این است که نحوه کارکرد برنامه مشخص شود.

تحلیل پویا : در این نوع از تحلیل بدافزار اجرا شده و عملکرد آن در سیستم مشخص می‌شود. این نوع از تحلیل به دو صورت تحلیل پویای پایه و تحلیل پویای پیشرفته انجام می­‌شود.

تحلیل پویای پایه : در این روش بدافزار اجرا شده و رفتار آن در سیستم مورد بررسی قرار می‌گیرد. روش پایه برای بسیاری از بدافزارها مناسب نیست، این تحلیل پس از پایان تحلیل ایستا انجام می‌­شود. این نوع تحلیل مراحلی دارد که از جمله آن می‌توان به موارد زیر اشاره کرد :

  • مانیتور کردن پروسس‌ها، نظارت بر فایل‌ها و رجیسترها و یا رویدادنگاری هنگام راه‌اندازی سیستم، مشاهده پروسس­‌های فعال، DLL های بارگذاری شده توسط پروسس، مقایسه دو حالت رجیستری قبل و بعد از اجرای بدافزار و مشخص شدن تغییرات ایجاد شده در رجیستری در نتیجه اجرای بدافزار، شبیه­‌سازی عملکرد شبکه و نظارت بر عملیات انجام شده توسط بدافزار از جمله مواردی است که توسط ابزارهای مورد استفاده در این مرحله مشخص می­‌شود.

تحلیل پویای پیشرفته: در این روش با استفاده از یک ابزار debugger  ، state  درونی بدافزار در حال اجرا مطالعه می‌شود.

شرکت ایمن رایانه امیرکبیر آماده ارائه خدمات تحلیل بدافزار به کلیه درخواست کنندگان است.