26、Linux系统恶意软件分析全攻略

Linux系统恶意软件分析全攻略

自动化恶意软件分析框架

自动化行为分析过程是高效分类和处理恶意代码样本，快速获取样本情报的有效解决方案。近年来，不少研究人员开发了自动化恶意软件分析框架，它们将众多流程和工具结合并自动化，以集体监测和报告目标恶意代码样本的运行时行为。这些分析框架为处理可疑程序提供了有效且高效的手段，能快速获取有关样本的可操作情报。不过，目前还没有能处理ELF文件的自动化恶意软件分析框架，但在文件分析过程中，当需要在了解样本的文件类型、目标操作系统、性质和用途之前对可疑文件进行分类时，这些工具可能会很有用。

在线恶意软件分析沙箱

将恶意软件样本提交到在线恶意软件分析沙箱，是快速获取可疑程序行为分析概述或用作相关调查工具的有效方法。虽然目前没有能处理Linux ELF文件的在线恶意软件分析沙箱，但这些服务仍可作为预分析分类平台，用于识别文件类型和感兴趣的文件。这些服务与特定供应商的恶意软件样本提交网站或在线病毒扫描器（如VirusTotal、Jotti Online Malware Scanner和VirScan）不同。

在线恶意软件扫描器在模拟互联网或“沙箱”网络中执行和处理恶意软件，通常会为提交方提供一份详细报告，说明在沙箱系统和网络中捕获的系统和网络活动。但需要注意的是，提交任何包含个人、敏感、专有或其他机密信息的样本，可能会违反受害公司的公司政策，或侵犯与该信息相关的所有权、隐私或其他公司或个人权利。在将此类样本提供给第三方检查之前，应寻求适当的法律指导。

嵌入式工件提取与深入静态分析

成功执行恶意代码样本（如果存在混淆代码，需先从中提取）后，需重新检查样本中的嵌入式工件，并对样本进行更深入