Đây là một cách tìm kiếm, phân tích và điều tra các thuộc tính khác nhau của phần mềm độc hại để tìm ra thủ phạm và lý do của cuộc tấn công. phương pháp này cũng bao gồm các nhiệm vụ như kiểm tra mã độc, xác định sự xâm nhập của nó, phương pháp lan truyền, tác động lên hệ thống, các cổng mà nó cố gắng sử dụng, v.v. Các nhà điều tra tiến hành điều tra pháp y bằng các kỹ thuật và công cụ khác nhau.
Các loại phần mềm độc hại:
Danh mục phần mềm độc hại được dự đoán dựa trên các thông số khác nhau như cách nó ảnh hưởng đến hệ thống, chức năng hoặc mục đích của chương trình, cơ chế lây lan và liệu chương trình có yêu cầu sự cho phép hoặc đồng ý của người dùng trước khi thực hiện các hoạt động nhất định hay không. một số phần mềm độc hại thường gặp là:
• Backdoor
• Downloader • Launcher • Rootkit • HackTool • Rogue application • Scareware • Worm or Virus
Sau đây là một số triệu chứng của một hệ thống bị nhiễm:
⋅ Hệ thống có thể không ổn định và phản hồi chậm vì phần mềm độc hại có thể đang sử dụng tài nguyên hệ thống.
⋅ Các tệp thực thi mới không xác định được tìm thấy trên hệ thống.
⋅ Lưu lượng truy cập mạng không mong đợi đến các trang web mà bạn đơn giản là không mong đợi để đính kèm.
⋅ Đã thay đổi cài đặt hệ thống như trang chủ trình duyệt mà không có sự đồng ý của bạn.
⋅ Cửa sổ bật lên ngẫu nhiên được hiển thị dưới dạng quảng cáo.
Điều kiện tiên quyết để điều tra phần mềm độc hại:
Điều kiện tiên quyết để phân tích phần mềm độc hại bao gồm hiểu phân loại phần mềm độc hại, các khái niệm ngôn ngữ lập trình x86 cần thiết, các định dạng tệp như định dạng tệp thực thi di động, API cửa sổ, chuyên môn trong việc sử dụng các công cụ giám sát, trình tháo gỡ và trình gỡ lỗi.
5.1. Các loại điều tra phần mềm độc hại
Hai trong số các loại phân tích phần mềm độc hại đã hỗ trợ phương pháp tiếp cận bao gồm: