البرمجيات الخبيثة، هي برامج الكمبيوتر التي يمكن برمجتها من قبل أي مبرمج الكمبيوتر باستخدام أي لغة برمجة متاحة بقصد إضرار أو إتلاف نظام التشغيل المضيف أو لسرقة البيانات الحساسة من ، والمنظمات أو الشركات.
تحليل البرامج الضارة، ( Malware analysis)، هو دراسة البرمجيات الخبيثة عن طريق تحليل مكوناته المختلفة، ودراسة سلوكها على نظام التشغيل للكمبيوتر المضيف.[1]
هناك نوعان من التقنيات الرئيسية لتحليل البرامج الضارة
- التحليل الساكن للبرمجيات الخبيثة: ويتم ذلك عن طريق تحليل المصادر المختلفة من الملف الرقمي الإزدواجي ودراسة كل مكون. ويمكن أيضا تفكيك الملف الرقمي الإزدواجي باستخدام مفكك مثل الـ IDA . يمكن ترجمة لغة الجهاز إلى لغة التجميع والتي يمكن قراءتها وفهمها من قبل البشر. وبذلك يمكن لمحلل البرمجيات الخبيثة معرفة وظيفة البرنامج وهدفه.وبالتالي معرفة طرق للتخلص من البرمجيات الخبيثة ومسحها من الجهاز المضيف.
- التحليل المتتبع للبرمجيات الخبيثة: ويتم ذلك من خلال مشاهدة وتسجيل سلوك البرامج الضارة حين تعمل على الجهاز المضيف. وتستخدم نظام الآلة الافتراضية والبيئات العازلة على نطاق واسع لهذا النوع من التحليل. يتم معالجة البرمجية الخبيثة أثناء تشغيلها باستخدام المعالجات مثل GDB أو WinDGB لمشاهدة سلوكها خطوة بخطوة وقت عملها على المعالج ودراسة أثرها المباشر على الذاكرة العشوائية.
متطلبات تحليل البرامجيات الخبيثة
لا يتطلب تحليل البرمجيات الخبيثة أن يكون الشخص مخترقاً محترفاً .محللي البرمجيات الخبيثة يجب أن تكون لديهم مهارات برمجية قوية ويجب أن يكونوا دقيقين وملمين بالتفاصيل.
المراجع
- كتاب Practical Malware Analysis للكاتب: Michael Sikorski و Andrew Honig