# 惡意程式分析 ## 分析流程 1. Fully-automated analysis 2. Static properties analysis 3. Interactive behavior analysis 4. Manual code reversing ## Fully-automated analysis 利用網路已存有的資源，把疑似惡意軟體的系統上傳並透過過去的通報案例來分析 ### 工具 - VirusTotal - HYBRID ## Static properties analysis 將惡意的軟體所存有的相關字串找出，並分析其可能會運行的操作 ### 工具 - BinText - PeStudio ## Interactive behavior analysis 利用虛擬的系統來模擬整個執行惡意軟體後，其實際的動作(在每次將汙染系統時，記得先記住快取狀況) ### 工具 - Process Hacker:檢測目前電腦在執行的工作 - Process Monitor:觀察電腦上的程式與其他系統的互動 - ProcDOT:將Process Monitor的資訊視覺化(因為可能在logs的形式十分複雜)，且能夠過濾一些背景程序，讓我們更好的專注在病毒的執行程序上 - Wireshark:前面提過 ## Reverse engineering 將exe(0101的資料)轉成組合語言，再分析組合語言在做什麼 ### 工具 - x64dbg:能夠一行行執行程式，並可以隨時中斷程式，來檢閱目前程式所讀取或使用的資料 - x32dbg - ollydbg