恶意代码分析之静态分析

5. 恶意代码分析

恶意代码分析是指利用多种分析工具掌握恶意代码样本程序的行为特征，了解其运行方式及安全危害，是准确检测和清除恶意代码的关键环节。为了抵抗安全防护软件，恶意代码使用的隐藏和自我保护技术越来越复杂，以便在系统中长期生存。目前，常用恶意代码的分析方法可以分为静态分析和动态分析两种。这两种方法结合使用，能较为全面的收集恶意代码的相关信息，以达到较好的分析效果。

1）静态分析

静态分析不需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制。恶意代码特征分析是静态分析中使用的一种基本方法。它通过查找恶意代码二进制程序中嵌入的可疑字符串，如：文件名称、URL地址、域名、调用函数等，来进行分析判断。反汇编分析使用反汇编工具将恶意代码程序或感染恶意代码的程序本身转换成汇编代码，通过相关分析工具对汇编代码进行词法、语法、控制流等分析，掌握恶意代码的功能结构。由于不需要运行恶意代码，静态分析方法不会影响运行环境的安全。另一方面，静态分析方法可以分析恶意代码的所有执行路径，但是随着程序复杂度的提高，执行路径数量庞大，冗余路径增多，会出现分析效率很低的情况，甚至导致分析无法完成。