Linux系统恶意软件分析综合指南
1. 自动化恶意软件分析框架
自动化恶意软件分析框架能有效对恶意代码样本进行分类和处理,通过自动化行为分析过程,快速获取样本的相关信息。近年来,不少研究人员开发了此类框架,它们整合并自动化了众多流程和工具,以监测和报告目标恶意代码样本的运行时行为。不过,目前还没有能处理ELF文件的自动化恶意软件分析框架,但这些解决方案在文件分析过程中,对未知文件类型、目标操作系统、性质和用途的可疑文件进行初步分类时,仍具有一定的作用。
1.1 常见自动化恶意软件分析框架
| 名称 | 作者/分发者 | 可用地址 | 描述 |
|---|---|---|---|
| Buster Sandbox Analyzer(“Buster”) | Buster | http://bsa.isoftware.nl/ | 基于Sandboxie的灵活可配置沙箱平台,能创建隔离区域,防止对系统进行更改。可监控和分析包括PE文件、PDF文件、Microsoft Office文档等在内的恶意代码样本的执行轨迹和行为,还允许数字调查人员在必要时与样本进行交互。 |
| ZeroWine和ZeroWine Tryouts | Joxean Koret | http://zerowine.sourceforge.net/ 和 http://ze |
