静的および動的マルウェア分析の 2 つのレポートがあります。実際には、動的レポートにはない MSVCRT の dll のいくつかの API (_p_commode、_setusermatherr など) が静的レポートに含まれています。動的レポートに同等の API があるかどうかは正確にはわかりません。そして、それらが動的レポートにないのはなぜですか?
1 に答える
1
サンドボックスで一定時間マルウェアを実行し、その動作を監視すると、動的レポートが作成されます。たとえば、サンドボックスまたは vmware や仮想ボックスなどの仮想システムでマルウェア exe ファイルを 2 分間実行し、そのマルウェアの API 呼び出しを監視しますが、マルウェアがすべての API を 2 分で実行するという保証はありません!!!. たとえば、犠牲者が google.com ページにアクセスしたとき、マルウェアが何らかのコードを実行したとき、またはユーザーが「銀行」、「ログイン」などのタイトルのページにアクセスしたときなど、一部の API はイベントベースである可能性があります。マルウェアはキーボード監視 API を呼び出して、キーボード。
于 2016-08-23T08:34:00.107 に答える