Statische Analyse

Aus IT-Forensik Wiki

Die statische und dynamische Analyse sind zwei unterschiedliche Vorgehensweisen, die unter anderem auch beim Reverse Engineering von Malware eingesetzt wird.

Bei der statischen Analyse wird versucht die Struktur und erste Informationen aus der vorliegenden Schadsoftware, ohne der Ausführung dieser, zu extrahieren. In der grundlegenden Analyse wird das Sample mit lokalen Programmen und online Analysen überprüft und in der erweiterten statischen Analyse wird dann das Sample mit Hilfe von Debugger und Disassembler geöffnet und der Quelltext detailliert analysiert.

Beispiel Programme:

Programm Funktion
BinText Suchen und Erkennen von Zeichenketten in Dateien
Dependency Walker Anzeigen von DLL aus der Schadsoftware und ihren Abhängigkeiten untereinander
Hex Editors Darstellung von Dateien in Hexadezimalformat
PEiD Erkennen von verpackter, verschleierter Schadsoftware
PEview Anzeigen der Struktur und des Inhaltes des PE Headers
Ressource Hacker Extrahieren und bearbeiten von eingebetteten Ressourcen aus der Schadsoftware

Beispiele für Online-Analysemöglichkeiten

Name URL
Joe Sandbox joesandbox.com
TotalHash totalhash.cymru.com
Virustotal virustotal.com