정적 및 동적 맬웨어 분석에 대한 두 가지 보고서가 있습니다. 정적 보고서 (예 : _p_commode, _setusermatherr ...)에 실제로 MSVCRT의 DLL API가 몇 가지 있습니다 동적 보고서에 없습니다. 정확히 동적 보고서에 동등한 API가 있는지 모르겠습니까? 그리고 왜 그들이 역동적 인 보고서에 있지 않은가?동적 보고서에서 정적 분석 보고서의 동등한 API를 찾는 방법
제한된 시간 동안 샌드 박스에서 멀웨어를 실행하고 동작을 모니터링하면 동적 보고서가 만들어집니다. 예를 들어 VM웨어 또는 가상 시스템과 같은 샌드 박스 또는 가상 시스템에서 2 분 동안 맬웨어 exe 파일을 실행하고 해당 맬웨어에 대한 API 호출을 모니터링하지만 맬웨어가 2 분 안에 모든 API를 실행한다는 보장은 없습니다. 어쩌면 희생자가 google.com 페이지를 방문하거나 악성 코드가 일부 코드를 실행하거나 사용자가 '은행', '로그인'과 같은 제목의 페이지를 방문 할 때 이벤트 기반 인 API 일 수 있습니다. 악성 코드는 키보드 모니터링 API를 호출하여 건반.
질문이 있으십니까? – Wez
정말로 정적 보고서에 __p__commode API가 있지만 동적 보고서에없는 이유를 알고 싶습니다. – Shirin
Sourena의 대답을 읽을 때까지 나는 그 질문을 이해하지 못했습니다. 둘 다 +1. –