式資料庫以便比對。也可利用第
三方工具(
VirusTotal
查詢
其它資安廠商是否也認為是惡
意程式(圖四)。
(3)
PE Headers
根據執行檔的
Headers
判別是
否為特定之惡意程式,或衍生之
惡意程式(圖五)。
(4)
PE Packet
有些惡意程式會把自己內嵌到
正常的
PE
執行檔內,當執行時
正常的程式與惡意程式都會執
行,但這種方式因為惡意程式要
執行必需有
unpack
的動作,
故我們可以進行靜態分析,將其
unpack
Code
解析出來,
並做為識別惡意程式的特徵碼
圖六)。
2.
Advance Static Analysis
(1)
Reverse Disassembled Code
圖四 利用
md5
sha
針對惡意程式建立特徵碼
圖五 解析
PE Header
利用
PE Header
的資訊判斷程式所使用的相關函式庫,或者有無
特定惡意程式之特徵
188
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用