PILLOLE DI #MALWAREANALYSIS
I laboratori per la malware analisi
Per analizzare un #malware è fondamentale avere un proprio laboratorio pronto all’utilizzo. La scelta ricade sempre tra un laboratorio “bare metal” oppure una macchina virtuale, ma è indubbio che la seconda è estremamente più flessibile da utilizzare soprattuto per la facilità con cui si può ristabilire la condizione preinfezione.
Infatti, un laboratorio durante un’analisi dinamica viene infettato volutamente dal malware da studiare per consentire all’analista di scoprirne gli effetti. Una vola terminata l’analisi è necessario ristabilire il laboratorio alla fase preinfezione, cosa estremamente semplice con gli snapshot.
Esistono diverse VM disponibili gratuitamente online ma nel mio corso di Dynamic Malware Analyst utilizzo #Flare VM, la macchina virtuale basata su Windows fornita dal famoso team #Mandiat di #FireEye. Dentro FlareVM troviamo tutto ciò che può servire ad un malware analyst da debugger, a disassembler, decompilatori, utilities per l’analisi statica e dinamica, Floss, Fakenet-NG etc…