Caminho para os iniciantes em Análise de Malware

[Sh3rl0ck]

O que é?

A análise de malware, como o próprio nome diz, se trata da análise de código maliciosos a fim de descobrir o seu comportamento ou como funciona mais internamente. Com isso podemos classificar o malware, verificar a sua natureza, tentar descobrir o autor, quais danos pode causar, como pausar os danos e como preveni-lo.

A análise de malware é um segmento da computação forense, que foca mais na análise de um artefato (programa / arquivo), podendo identificar se ele é ou não malicioso. Além disso isso é praticamente a base de um anti-vírus, podemos dizer que praticamente o anti-vírus  faz uma análise de malware mais automatizada e usa um bom banco de dados de ameaças para auxiliar nesta tarefa, mas a intervenção humana geralmente acaba sendo mais precisa e inteligente na análise de malware, em alguns casos de malwares novos, os analistas verificam o malware e desenvolvem uma forma de identifica-los e remove-los que é inserido no antivírus (que nem os médicos que desenvolvem a vacina para uma doença).

É muito importante citar que a análise de malware está diretamente ligado a engenharia reversa, principalmente na parte de análise de código (analisa o malware com RE), já na parte de analise comportamental (verifica as suas interações com o sistema e com a rede) isso não é muito necessário quanto a de código.

 

Por que aprender?

A análise de malware é utilizada em várias áreas e situações, seguem alguns exemplos:

• Criação de assinaturas e outras formas de detecção e remoção usadas pelo antivírus;
• Se o antivírus não detectar o malware e você sabe que está contaminado, você mesmo poderá remove-lo e criar uma "vacina";
• Poderá identificar o respectivo atacante;
• Em alguns casos poderá verificar se um arquivo é ou não malicioso antes de executa-lo;
• Em alguns casos poderá verificar se uma página/e-mail é ou não malicioso antes de acessa-lo (nesse caso analisamos a página com o noscript antes);
• Saber como se prevenir e reagir a uma contaminação por malware;
• Utilizar em uma análise forense;

Além desses exemplos podemos ter outros motivos do por que aprender.

 

Como aprender?

Antes de iniciar os estudos diretamente sobre análise de malware, terá certos pré-requisitos para isso:

1. O ponto mais importante é aprende engenharia reversa, para isso existe o artigo abaixo que foi criado que ensina qual o caminho para aprender:
3. Outro aspecto é aprende redes de computadores, as principais referências são Redes de Computadores de Andrew S. Tanenbaum ou Redes de Computadores e a Internet, Uma Abordagem Top-Down de Jim Kurose. Após ler esses livros base de redes, recomendo ver o livro mais específico para análise em redes: Análise de Tráfego em Redes TCP/IP de Eriberto Mota Filho.

Após isso já terá boas bases para iniciar com os estudos sobre análise de malware:

• Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software de por Michael Sikorski;
• Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code de Michael Ligh;
• The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory de Michael Ligh;

[Luisa Tito]

Tenho vírus no meu facebook

[Guest gnoo]

O Facebook por si já é um malware...