Analisi dinamica del malware si analizza i campioni di malware eseguendoli in un ambiente contenuto.Si eseguono esempi di malware e vedremo cosa fa, come funziona come si comporta, che registri sta creando, quali operazioni vengono eseguitee come vengono eseguiti. Osserveremo i sistemi e servizi, che vengono influenzati durante l’esecuzione,che connessioni di rete sta eseguendo.
Se il malware si nasconde e, in caso affermativo, come si nasconde. Tutti di questo un ambiente contenuto come una macchina virtuale o una sandbox.
Un ambiente contenuto può essere qualsiasi cosa, da un semplice macchina virtuale, fino a un file fisicamente separato
dal sistema, in esecuzione su una rete fisicamente separata. Tutto di questo dipende dal tipo di malware con cui hai a che fare
e il tuo budget.
Al giorno d’oggi, c’è un dibattito sull’efficacia di analisi statica vs. analisi dinamica. Alcuni ricercatori e analisti, con la complessità della tecnologia utilizzata dagli sviluppatori di malware, è meglio fare un’analisi dinamica piuttosto che statica.
Non esiste una risposta giusta, quindi non fa male conoscere entrambi i lati e usarli secondo necessità.
Execution Environments:
1. Macchine virtuali (vmware, virtualbox)
2. Sistema separato (altro pc,laptop,server) fuori dalla rete
3. Sandbox (any run, joe sandbox)
Potresti chiederti se dovresti eseguire il file su Virtual Machine Hypervisor sul tuo computer (host) o meno.
Bene, ti consigliamo di eseguire il campione almeno entro un VM, ma ti consigliamo di farlo anche su un computer su cui si trova
non memorizzate informazioni personali o importanti. tu non sai mai se hai a che fare con un campione che potrebbe bypassare
la tua sandbox e danneggiare il tuo sistema! Quando si esegue l’esempio su un sistema fisico, è fantastico disporre di strumenti in grado di ripristinare di nuovo allo stato normale e pulito; in altre parole, tornare al primo snap della tua virualmachine o sistema dopo la esecuzione e analisi.
Shadow Defender, facile da utilizzare e per ripristinare, adatto a Windows che
protegge il tuo computer reale con un’ ambiente contro attività e modifiche indesiderate. SD può eseguire il tuo sistema in un file virtuale
ambiente chiamato “Shadow Mode”, che può reindirizzare ogni modifica del sistema
in un ambiente virtuale senza modifiche al tuo ambiente reale. Questo lo fa conveniente per l’analisi del malware. Quando avviato, entra come in una modalità sua, dove ogni modifica è completamente nulla al riavvio o quando usciamo dal programma.
