Cuando ocurre una infección por malware se suele buscar de manera inmediata su eliminación, esto para un usuario estándar. Al momento de entrar en un ambiente corporativo entran en juego mas aspectos ademas de eliminar el malware se busca detectar que comportamientos tiene el malware con el fin de generar una firma que permita su detección y eliminación.
Estas firmas están basadas en el host y de red. Las firmas basadas en el host, buscan detectar los cambios realizados en el sistema, como ya visto previamente, la creación de directorios, creación de registros, entre otros. Por su parte las firmas de red que consiste en el análisis de código malicioso en el trafico de red
Para analizar el malware se tiene técnicas, básicas y avanzadas.
- Análisis estático básico: Consiste en el analizas del malware sin ejecutarlo, obteniendo trozos de información pero sin entrar en profundidad a la parte técnica donde se analicen instrucciones de código.
- Análisis estático avanzado: Consiste en un proceso de ingeniería inversa del malware, utilizando un desensamblador, en el cual se examinen las instrucciones ejecutadas por la CPU.
- Análisis dinámico básico: Se basa en la ejecución del malware y observar como se comporta en el sistema, como lo hemos visto al inicio, las acciones iniciales que realiza el malware, crear directorios, modificar el registro de Windows, etc.
- Análisis dinámico avanzado: Es el análisis del malware utilizando un depurador, es decir analizar las instrucciones en tiempo de ejecución del software malicioso.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario