tags: analisi_malware_statica analisi_malware analisi
L’analisi statica del malware, nota anche come analisi del codice, consiste nell’analizzare il codice binario eseguibile senza eseguirlo per comprendere meglio il malware e il suo scopo. Il processo include l’uso di diversi strumenti e tecniche per determinare la parte dannosa del programma o di un file. Raccoglie inoltre informazioni sulla funzionalità del malware e raccoglie i puntatori tecnici o le firme semplici che genera. Tali puntatori includono il nome del file, i checksum o gli hash MD5, il tipo di file e le dimensioni del file. L’analisi del codice binario fornisce informazioni sulla funzionalità del malware, le firme di rete, la tecnica di exploit packaging, le dipendenze coinvolte e altre informazioni.
Internet
Una nota importante da fare in questa fase è quella di utilizzare emulatori di rete perchè alcuni malware come per esempio i worm non funzionano o comunque funzionano parzialmente nel caso non rilevino la connessione a internet, un esempio di strumento che fa questo è INetSim
Alcune delle tecniche di analisi del malware statico sono:
- Impronta digitale dei file
- Scansione del malware locale e online
- Esecuzione della ricerca di stringhe
- Identificazione dei metodi di compressione e offuscamento
- Individuazione delle informazioni sugli eseguibili portatili (PE)
- Identificazione delle dipendenze dei file
- Disassemblaggio del malware