Statische Analyse
Aus IT-Forensik Wiki
Die statische und dynamische Analyse sind zwei unterschiedliche Vorgehensweisen, die unter anderem auch beim Reverse Engineering von Malware eingesetzt wird.
Bei der statischen Analyse wird versucht die Struktur und erste Informationen aus der vorliegenden Schadsoftware, ohne der Ausführung dieser, zu extrahieren. In der grundlegenden Analyse wird das Sample mit lokalen Programmen und online Analysen überprüft und in der erweiterten statischen Analyse wird dann das Sample mit Hilfe von Debugger und Disassembler geöffnet und der Quelltext detailliert analysiert.
Beispiel Programme:
| Programm | Funktion |
|---|---|
| BinText | Suchen und Erkennen von Zeichenketten in Dateien |
| Dependency Walker | Anzeigen von DLL aus der Schadsoftware und ihren Abhängigkeiten untereinander |
| Hex Editors | Darstellung von Dateien in Hexadezimalformat |
| PEiD | Erkennen von verpackter, verschleierter Schadsoftware |
| PEview | Anzeigen der Struktur und des Inhaltes des PE Headers |
| Ressource Hacker | Extrahieren und bearbeiten von eingebetteten Ressourcen aus der Schadsoftware |
Beispiele für Online-Analysemöglichkeiten
| Name | URL |
|---|---|
| Joe Sandbox | joesandbox.com |
| TotalHash | totalhash.cymru.com |
| Virustotal | virustotal.com |
