Reverzní inženýrství malwaru pomůže v aktivní ochraně

Sdílet

 Autor: © Gunnar Assmy - Fotolia.com
Zpětný rozklad ochuceného hardwaru by se měl stát běžnou praxí při ochraně proti škodlivému softwaru.

Jednou z největších hrozeb, které společnosti čelí, je malware. Technická oddělení začínají pomalu chápat, že antivirové programy slouží pouze k ochraně, ale odpovědi na důležité otázky jim neposkytnou. Co virus způsobil? Je hrozba stále aktivní? K jakým ztrátám vinou infekce došlo? Odpovědi na tyto otázky nejsou snadno k nalezení, ale reverzní inženýrství malwaru by k odpovědím mohlo pomoci.

Společnosti o rozboru malwaru, který je napadl, příliš nepřemýšlí, mimo jiné i kvůli jeho velké komplikovanosti. Se správnými nástroji a praxí však může poskytnout důležité informace.

Reverzní inženýrství malwaru je proces, který umožní do napadeného počítače nahlédnout ve stylu magnetické rezonance. Je potřeba vzít na vědomí, kdy a kde tuto činnost provedete. Analýza malwaru v „bezpečném” prostředí - například na virtuálním systému nebo na přístroji, který není připojen k podnikové síti, je tou nejlepší volbou. Při neúmyslném spuštění malwaru během analýz je možné pořídit snímek obrazovky a přejít zpět, takže nevznikne žádná škoda.

Nejvhodnějším nástrojem k analýze malwaru je debugger – software, který umožňuje projít program krok za krokem a pozorovat efekty, které při každém kroku nastanou. Dalším vhodným nástrojem je dissasembler – ten změní strojový jazyk malwaru do kódu assembleru. S dissasemblerem lze provést takzvanou statickou analýzu, která vám s trochou praxe pomůže zjistit, jak má malware fungovat. Pomocí debuggeru lze kód rozbít a měnit za pochodu. Je možné využít testovacích podmínek a zjistit, jak je malware navržen a za jakých podmínek se spouští. Tomuto procesu se často říká dynamická analýza.

Některé programy k analýze jsou zdrama, zatímco další jsou relativně drahé. Pokud však plánujete brát analýzu malwaru vážně, tak jsou nástroje, které pomohou získat odpověď během několika hodin místo několika dní, velmi dobrou investicí - obzvlášť, pokud jsou využívány často.

Některé z nástrojů, které se dají nalézt, jsou například IDA Pro, Immunity Debugger nebo Olly Debugger. Nástroje IDA jsou dostupné pro operační systém Mac OS X i pro Linux.