Dynamische Analyse

Aus IT-Forensik Wiki

Die statische und dynamische Analyse sind zwei unterschiedliche Vorgehensweisen, die unter anderem auch beim Reverse Engineering von Malware eingesetzt wird.

Bei der dynamischen Analyse wird die Schadsoftware in einer dafür vorgesehenen Umgebung ausgeführt und ihr Verhalten, wie zum Beispiel das Erstellen oder verändern von Dateien oder Prozessen protokolliert. Während der grundlegenden dynamischen Analyse wird das Verhalten der Schadsoftware mittels Programmen überwacht. Bei der erweiterten Analyse, werden zusätzlich Debugging Methoden eingesetzt oder eine Kommunikation mit der Schadsoftware erzeugt.


Programm Funktion
ApateDNS Überwachung von Prozessen, Registry Einträgen und Dateiaktivitäten
Capture BAT Beispiel
INetSim Simulation von Interntdiensten
Process Explorer Darstellung von Prozessen
Regshot Analyse von Registry Einträge
Sandboxes
  • Cuckoo
  • CWSandbox
  • Norman Sandbox
  • DroidBox
Abgeschottete Umgebungen zur Ausführung und Analyse von Schadsoftware.
Virtualbox Virtualisierungsumgebung
Wireshark Aufzeichnung und Auswertung von Netzwerkverkehr