Reverse Engineering di base: analisi del malware in ambienti isolati
Analisi del malware in ambienti isolati
Prerequisiti
Conoscenza di base della programmazione in linguaggi come C, C++, Python, ecc.
Conoscenza base dei sistemi operativi (Windows, Linux, macOS)
Conoscenza di base della sicurezza informatica (concetti di malware, vulnerabilità, ecc.)
Strumenti di analisi malware come OllyDbg, IDA Pro, ecc.
Configurazione dell'ambiente di analisi
Configurazione del sistema operativo
Installa un sistema operativo isolato (ad esempio Windows 10 in un ambiente virtualizzato come VMware o VirtualBox)
Imposta il sistema operativo in modo che non si connetta a Internet
Configurare il sistema operativo in modo che non vengano eseguiti servizi di rete
Configurazione dello strumento di analisi
Installa lo strumento di analisi del malware (ad esempio OllyDbg o IDA Pro)
Configura lo strumento per l'esecuzione in modalità isolata (ad esempio senza accesso a Internet)
Configura lo strumento per l'esecuzione in modalità debug (ad esempio con accesso ai registri di debug)
Configurazione dell'ambiente di analisi
Creare un ambiente di analisi isolato (ad esempio un contenitore Docker)
Configurare l'ambiente per l'esecuzione in modalità isolata (ad esempio, senza accesso a Internet)
Configura l'ambiente per l'esecuzione in modalità debug (ad esempio, con accesso ai registri di debug)
##Analisi del malware
Analisi del campione di malware
Ottieni un campione di malware (ad esempio un file eseguibile)
Analizza il campione di malware utilizzando lo strumento di analisi del malware (ad esempio OllyDbg o IDA Pro)
Identificare le caratteristiche del campione di malware (ad esempio, il suo comportamento, le sue vulnerabilità, ecc.)
Analisi della struttura del malware
Analizzare la struttura del malware (ad esempio il suo codice, le sue librerie, ecc.)
Identificare le vulnerabilità del malware (ad esempio i suoi punti deboli, ecc.)
Identificare le caratteristiche della struttura del malware (ad esempio, la sua complessità, la sua dimensione, ecc.)
Analisi della comunicazione del malware
Analizzare la comunicazione del malware (ad esempio le tue connessioni Internet, i tuoi messaggi, ecc.)
Identificare le vulnerabilità nella comunicazione del malware (ad esempio i suoi punti deboli, ecc.)
Identificare le caratteristiche di comunicazione del malware (ad esempio, la sua velocità, la sua complessità, ecc.)
Esempi di codici
Esempio di codice C
c
#include <stdio.h>
int principale() {
printf("Ciao mondo!\n");
restituire 0;
}
Esempio di codice Python
pitone
print("Ciao mondo!")
Esempio di codice in IDA Pro
idapro
; Esempio di codice in IDA Pro
; 00401000 55 spingere ebp
; 00401001 8B EC mov ebp,esp
; 00401003 83 EC 10 sub esp,0x10
; 00401006 B8 00 00 00 00 mov eax,0
; 0040100B E8 00 00 00 00 chiama 00401010
; 00401010 B8 00 00 00 00 mov eax,0
; 00401015 E9 00 00 00 00 jmp 00401010
; 0040101A 90 nop
Tabella di configurazione
| Impostazioni | Valore | Descrizione |
| --- | --- | --- |
| Sistema operativo | finestre10 | Sistema operativo isolato |
| Strumento di analisi | OllyDbg | Strumento di analisi del malware |
| Ambiente di analisi | Contenitore Docker | Ambiente di analisi isolato |
Architettura dettagliata
Architettura del sistema operativo
Sistema operativo isolato (ad esempio Windows 10)
Impostazione del sistema operativo per non connettersi a Internet
Impostazione del sistema operativo in modo che non vengano eseguiti servizi di rete
Architettura dello strumento di analisi
Strumento di analisi malware (ad esempio OllyDbg)
Configurazione dello strumento per l'esecuzione in modalità isolata (ad esempio senza accesso a Internet)
Configurazione dello strumento per l'esecuzione in modalità debug (ad esempio con accesso ai registri di debug)
Architettura dell'ambiente di analisi
Ambiente di analisi isolato (ad esempio un contenitore Docker)
Configurazione dell'ambiente per l'esecuzione in modalità isolata (ad esempio, senza accesso a Internet)
Configurazione dell'ambiente per l'esecuzione in modalità debug (ad esempio con accesso ai registri di debug)