1、分析目标

响应网络入侵事件,了解发生了什么(目标、功能),定位受感染主机和文件
基于主机的特征码:在受感染主机上检测出恶意代码(文件、注册表)
基于网络的特征码:检测网络流量

2、分析技术

(1)静态分析:检查可执行文件但不查看具体指令——>反汇编查看被CPU执行的指令
(2)动态分析:运行并观察系统行为,需要建立一个安全的环境——>使用调试器

3、恶意代码类型

(1)后门:让攻击者只需很少认证便可连接到远程计算机上控制本地系统
(2)僵尸网络:从控制命令服务器接收指令
(3)下载器:下载安装其他恶意代码
(4)间谍软件:收集信息
(5)启动器:启动其他恶意代码(隐蔽性)
(6)内科套件:隐藏其他恶意代码
(7)勒索软件:勒索购买
(8)发送垃圾邮件
(9)蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码

4、分析通用规则

(1)概要性了解恶意代码