tokka_wattskyმავნე კოდის ანალიზი შეგიძლია reverse-engineering ის გარეშე ანუ ვგულისხმობ assembly - ს ცოდნის გარეშეც.
1. შეგიძლია სტატიკური ანალიზი გააკეთო მავნე კოდის. ანუ უბრალოდ გამშვებ ფაილს(exe) ხსნი და უბრალოდ შიგთავს უყურებ. რა ფუნქციების იმპორტირებას ახდენს რა string ები აქვს შიგნით. შესაძლებელია IP მისამართი ქონდეს რაც დიდი შანსია ეს იყოს უბრალოდ სერვერის IP რასაც უკავშირდება.
2. ასევე შეგიძლია დინამიური ანალიზი, დინამიური ანალიზისთვის უბრალოდ ვირუსულ ფაილს უშვებ და ნახულობ რა პროცესებს,ფაილებს ქმნის და რა აქტივობებს იწვევს,რას ცვლის რეგისტრში და ა.შ ეს შეგიძლია Process Hacker,Process monitor ით და სხვა ბევრი ხელსაწყოა.
3. მერე უკვე თუ ღრმა ანალიზი გინდა აქ assembly - ს ცოდნა გჭირდება კი მანამდე არა(ძემოთ ორი პუნქტი რო დავწერე).
უნდა იცოდე ძირითადი ინსტრუქციები მაინც,ასევე უნდა იცოდე ცოტა ოპერაციულ სისტემებზე,ძირითადად Windows API ში უნდა ერკვეოდე.
შეიძლება მავნე კოდმა გამოიძახოს ფუნქცია SetWindowsHookEx თუ რაღაც ესეთი ზუსტად არ მახსოვს და უნდა მიხვდე მიახლოებით რას აკეთებს და მოკლედ ღრმა ანალიზისთვის გჭირდება ასემბლის ცოდნაც და ოპერაციული სისტემების ცოდნაც.
და რაც უფრო ღრმად გინდა შესვლა მით უფრო მეტ ცოდნას და კომპეტენტურობას მოითხოვს.
თუმცა საშუალო ანალიზისთვის არაა საჭირო.
პრაქტიკიდან მალე ამოღებას რაც შეეხება ნაღდად არმგონია ეგეთი რამ მოხდეს. თუმცა მე მხოლოდ ჩემ პირველ ორ პუნქტს ვაკმაყოფილებ,ნუ მესამესაც მაგრამ თავს შევიკავებ.
თუ სერიოზულად გინდა ჩაუჯდე წიგნებს გირჩევდი
http://www.amazon.com/Practical-Malware-An...alware+analysishttp://www.amazon.com/Windows-Internals-Ed...9XQ51PCY4K9AXMFდა რამე ასემბლერზე აიღე წიგნი.
assembly
