L'analisi dei malware dovrebbe essere eseguita in una VM preferibilmente disconnessa da Internet. Questo è principalmente per proteggere il tuo sistema e impedirne la diffusione (se il malware ha questa capacità). È inoltre possibile utilizzare istantanee o, talvolta, configurare una VM per non mantenere mai lo stato. VirtualBox è gratuito e farà il lavoro. VMware Player è anche gratuito, ma limitato. Non consente purtroppo l'uso di istantanee.
Ci sono vari strumenti disponibili per aiutarti con l'analisi del malware. La disconnessione da Internet può talvolta impedire al malware di eseguire il suo codice dannoso. Ci sono un paio di strumenti sandboxing che ascolteranno sulle porte e risponderanno alle richieste di rete in modo appropriato per costringere il malware a continuare a funzionare. Quello consigliato da Practical Malware Analysis è FakeNet . Con FakeNet puoi persino progettare risposte personalizzate a protocolli proprietari e / o porte non standard.
Cuckoo Sandbox è uno strumento open source in grado di fornire report di analisi sul malware durante il suo funzionamento. È in grado di tenere traccia delle chiamate di sistema, mantenere le copie dei file creati (anche se successivamente cancellati) dal malware e fornire i dump della memoria dell'intero sistema. Uno strumento molto potente.
La maggior parte dei malware è piena, quindi è necessario assicurarsi di poter decomprimere i binari, estrarre risorse, ecc. UPX è il più comune. CFF Explorer è molto utile per analizzare le risorse e include un'utilità UPX. Potresti voler controllare questi 5 strumenti consigliati da MAMB.
Questi strumenti ti daranno un'idea di cosa sta facendo il malware su un sistema. Tuttavia, se hai bisogno di approfondire i dettagli grintosi, ti consigliamo di utilizzare il tuo IDA Pro . Questo è principalmente per malware più complicati che non puoi forzare a eseguire. Alcuni malware verranno avviati in thread sospesi per essere eseguiti successivamente. Alcuni sanno solo che non sei connesso a Internet tramite i propri controlli. Quindi dovrai dipendere dallo smontaggio per capire cosa stanno cercando di realizzare.
Altri strumenti utili, debugger. Windbg o Ollydbg sono i due più comuni, ma ci sono molte opzioni. Ti consente di collegarti al pezzo di malware mentre è in esecuzione, imposta i punti di interruzione, controlla la memoria, ecc.