逆向工程反組譯執行檔,以分析
程式行為與資料區段。這種分析
方式分析結果較完整,不過通常
所需時間較長(圖七)。
(2)
PDF , Java and Office
這類文件型的分析方式主要是
觀察有無嵌入
Shell-Code
Javascript
或其它執行檔(
Exe
or SWF
)、
檔案結構是否異常、
是否存在巨集(
marco
功能
以及有無異常之檔案屬性等。
三、至於
Dynamic Analysis
分為下列幾種:
1.
Network Tra c
非常有用的分析方式,可以利用
DNS
查詢,連接的
IP
以及相關有無
下載檔案等觀察是否為惡意程式,當
確認為惡意程式時,所查詢的
DNS
IP
資料也可以做為識別與判斷的特徵
圖八)。
2.
File Activity
利用程式執行時所進行的相關檔
案操作,可以判斷該惡意程式有無產
生、刪除或修改系統內的檔案。判斷
惡意程式有無自我刪除行為避免被發
現,或該惡意程式有無從被感染的機
器上讀取其它較敏感的檔案或資訊。
3.
Process and Service Activity
分析進程與服務的活動。可以觀
圖六 雙重執行檔的示意圖
189
Technology Forum 2015
雲端
資料
BYOD
與資
網路