恶意软件分析是确定特定恶意软件样本的来源和潜在影响的过程或技术。恶意软件可以是任何看起来恶意的或行为类似于病毒、蠕虫、bug、特洛伊木马、间谍软件、广告软件等的软件。任何可能对您的系统造成危害的可疑软件都可以被视为恶意软件。尽管反恶意软件程序的使用越来越多，但全世界都在目睹恶意软件攻击的快速发展。任何连接到互联网的东西都容易受到恶意软件攻击。

恶意软件检测继续构成挑战，因为潜在的攻击者找到新的和先进的方法来逃避检测方法。这就是恶意软件分析的关键所在。

恶意软件分析可以更好地了解恶意软件的功能以及如何消除这些威胁。恶意软件分析可以有不同的目的，如了解恶意软件感染的程度，了解恶意软件攻击的后果，识别恶意软件的性质，确定恶意软件的功能。

用于恶意软件检测和分析的方法有两种：静态恶意软件分析和动态恶意软件分析。静态分析涉及检查给定的恶意软件样本而不实际运行它，而动态分析是在受控环境中系统地进行的。我们对两者进行了公正的比较，以帮助您更好地理解恶意软件分析的方法。

什么是静态恶意软件分析(static malware ****ysis)？

静态分析是在不实际运行代码的情况下分析恶意软件二进制文件的过程。静态分析通常通过确定二进制文件的签名来执行，该签名是二进制文件的唯一标识，并且可以通过计算文件的加密散列和理解每个组件来完成。

恶意软件二进制文件可以通过将可执行文件加载到反汇编程序（如IDA）中进行反向工程。机器可执行代码可以被转换成汇编语言代码，这样就可以很容易地被人类阅读和理解。然后，分析员查看程序，以便更好地了解它的功能以及它的编程目的。

什么是动态恶意软件分析(dynamic malware ****ysis)？

动态分析包括运行恶意软件样本并观察其在系统上的行为，以消除感染或阻止其扩散到其他系统。系统设置在一个封闭、隔离的虚拟环境中，因此可以彻底研究恶意软件样本，而不会对系统造成损坏。

在高级动态分析中，调试器可用于确定恶意软件可执行文件的功能，否则很难使用其他技术获得这些功能。与静态分析不同，它是基于行为的，因此很难忽略重要的行为。

静态和动态恶意软件分析的区别

静态和动态恶意软件分析的意义

恶意软件的行为可能会有所不同，这取决于它们的编程目的，这使得了解它们的功能变得更加重要。基本上有两种方法：静态分析和动态分析。静态分析是一个确定恶意文件来源的过程，目的是在不实际执行恶意软件的情况下了解其行为。另一方面，动态分析是在受控环境中进行的更详细的恶意软件检测和分析过程，并对整个过程进行监控，以观察恶意软件的行为。

分析

静态恶意软件分析是一种非常简单和直接的方法来分析恶意软件样本而不实际执行它，因此该过程不需要分析人员经历每一个阶段。它只是观察恶意软件的行为，以确定它的能力或它可以对系统做什么。另一方面，动态恶意软件分析涉及在执行过程中使用恶意软件样本的行为和动作进行彻底分析，以便更好地了解样本。系统设置在封闭和隔离的环境中，并进行适当的监控。

静态和动态恶意软件分析技术

静态分析包括分析恶意软件二进制文件的签名，这是二进制文件的唯一标识。二进制文件可以使用反汇编程序（如IDA）进行反向工程，将机器可执行代码转换为汇编语言代码，使其具有可读性。用于静态分析的一些技术包括文件指纹、病毒扫描、内存转储、打包机检测和调试。动态分析包括在沙盒环境中分析恶意软件的行为，以便它不会影响其他系统。通过商业沙盒的自动分析取代了手动分析。

方法

静态分析使用基于特征的方法来检测和分析恶意软件。签名只不过是特定恶意软件的唯一标识符，它是一个字节序列。不同的模式用于扫描签名。基于特征码的反恶意软件程序对大多数常见类型的恶意软件有效，但对复杂和高级的恶意软件程序无效。这就是动态分析的意义所在。动态分析不是基于特征码的方法，而是使用基于行为的方法通过研究给定恶意软件执行的操作来确定恶意软件的功能。

静态与动态恶意软件分析：比较图

总结 - 静电的(of static) vs. 动态恶意软件分析(dynamic malware ****ysis)

检测、识别和初步分析对于恶意软件分析至关重要，因此非常有必要运行系统分析以遏制恶意软件的传播，从而阻止其传播到其他生产系统或文件和目录中。在本文中，我们比较了基于静态和动态恶意软件分析的恶意软件检测技术。除了静态分析使用基于特征码的方法而动态分析使用基于行为的方法来检测恶意软件外，这两种方法都是广泛使用的恶意软件检测技术。不管恶意软件检测采用哪种技术，这两种方法都能让我们更好地了解恶意软件的功能以及我们能做些什么。