Se stai cercando di fare più mani sull'analisi manuale di software dannoso, può comportare una serie di compiti, alcuni più semplici di altri. Questi sforzi possono essere raggruppati in fasi in base alla natura delle tecniche di analisi del malware associate. Questo non può essere sempre osservato, ma in molti scenari hai l'opportunità di eseguire un'indagine manuale
Puoi iniziare con un'analisi completamente automatizzata che sarà la più semplice. Questo è ciò che viene normalmente fatto usando vari strumenti per analizzare la situazione e quindi fornire il metodo migliore per risolvere il problema. Risolverà il problema, ma lascia poco spazio per una maggiore attenzione o l'uso di qualcosa di più analiticamente ideale.
Se si esamina più da vicino il file sospetto, è possibile procedere esaminando le sue proprietà statiche. Tali dettagli possono essere ottenuti in tempi relativamente brevi, poiché non implicano l'esecuzione del programma potenzialmente dannoso. Le proprietà statiche includono le stringhe incorporate nel file, i dettagli dell'intestazione, gli hash, le risorse incorporate, le firme dei packer, i metadati come la data di creazione, ecc.
Talvolta le proprietà statiche possono essere sufficienti per definire indicatori di base di compromesso. Questo processo aiuta anche a determinare se l'analista dovrebbe dare un'occhiata più ravvicinata al campione usando tecniche più complete e dove focalizzare i passaggi successivi. L'analisi delle proprietà statiche è utile come parte dello sforzo di triage incidente.
Un'analisi comportamentale può anche aiutare quando si osserva, l'analisi comportamentale implica l'esame di come il campione viene eseguito in laboratorio per comprendere il suo registro, il file system, le attività di processo e di rete.