मैलवेयर विश्लेषण: Difference between revisions
From Vigyanwiki
(Created page with "{{Short description|Study of malware}} मैलवेयर विश्लेषण किसी दिए गए मैलवेयर नमूने जैसे कं...") |
No edit summary |
||
| Line 1: | Line 1: | ||
{{Short description|Study of malware}} | {{Short description|Study of malware}} | ||
मैलवेयर विश्लेषण किसी दिए गए मैलवेयर | मैलवेयर विश्लेषण किसी दिए गए मैलवेयर मानक जैसे [[कंप्यूटर वायरस]], [[कंप्यूटर कीड़ा|कंप्यूटर वर्म]], [[ट्रोजन हॉर्स (कंप्यूटिंग)]], [[ rootkit | रूटकिट]] , या [[ पिछले दरवाजे (कंप्यूटिंग) | बैकडोर (कंप्यूटिंग)]] की कार्यक्षमता, उत्पत्ति और संभावित प्रभाव का निर्धारण करने का अध्ययन या प्रक्रिया है।<ref>{{Cite web|url=http://www.ijarcsse.com/docs/papers/Volume_3/4_April2013/V3I4-0371.pdf|title=मैलवेयर विश्लेषण में उन्नत अनुसंधान का अंतर्राष्ट्रीय जर्नल|publisher=ijarcsse|access-date=2016-05-30|archive-url=https://web.archive.org/web/20160418151823/http://www.ijarcsse.com/docs/papers/Volume_3/4_April2013/V3I4-0371.pdf|archive-date=2016-04-18|url-status=dead}}</ref> [[मैलवेयर]] या मॉलिसियस सॉफ़्टवेयर कोई भी कंप्यूटर सॉफ़्टवेयर है जिसका उद्देश्य होस्ट ऑपरेटिंग प्रणाली को हानि पहुँचाना या उपयोगकर्ता संगठनों या कंपनियों से संवेदनशील डेटा चोरी करना है। मैलवेयर में ऐसे सॉफ़्टवेयर सम्मिलित हो सकते हैं जो अनुमति के बिना उपयोगकर्ता की जानकारी एकत्र करते हैं।<ref>{{Cite web|url=http://searchmidmarketsecurity.techtarget.com/definition/malware|title=मैलवेयर परिभाषा|access-date =2016-05-30}}</ref> | ||
== मामलों का प्रयोग करें == | == मामलों का प्रयोग करें == | ||
तीन विशिष्ट उपयोग मामले हैं जो मैलवेयर विश्लेषण की आवश्यकता को पूरा करते हैं: | तीन विशिष्ट उपयोग मामले हैं जो मैलवेयर विश्लेषण की आवश्यकता को पूरा करते हैं: | ||
* [[कंप्यूटर सुरक्षा घटना प्रबंधन]]: यदि किसी संगठन को पता चलता है या संदेह है कि कुछ मैलवेयर उसके | * [[कंप्यूटर सुरक्षा घटना प्रबंधन]]: यदि किसी संगठन को पता चलता है या संदेह है कि कुछ मैलवेयर उसके प्रणाली में आ गए हैं, तो एक प्रतिक्रिया टीम किसी भी संभावित मानक पर मैलवेयर विश्लेषण करने की इच्छा कर सकती है जो जांच प्रक्रिया के दौरान पता लगाने के लिए कि क्या वे मैलवेयर हैं और, यदि हां, तो उस मैलवेयर का लक्ष्य संगठनों के वातावरण में प्रणाली पर क्या प्रभाव पड़ सकता है। | ||
* [[मैलवेयर अनुसंधान]]: अकादमिक या उद्योग मैलवेयर शोधकर्ता मैलवेयर कैसे व्यवहार करते हैं और इसके निर्माण में उपयोग की जाने वाली नवीनतम तकनीकों को समझने के लिए मैलवेयर विश्लेषण कर सकते हैं। | * [[मैलवेयर अनुसंधान]]: अकादमिक या उद्योग मैलवेयर शोधकर्ता मैलवेयर कैसे व्यवहार करते हैं और इसके निर्माण में उपयोग की जाने वाली नवीनतम तकनीकों को समझने के लिए मैलवेयर विश्लेषण कर सकते हैं। | ||
* समझौता निकासी का संकेतक: समझौता के संभावित नए संकेतकों को निर्धारित करने के लिए सॉफ़्टवेयर उत्पादों और समाधानों के विक्रेता थोक मैलवेयर विश्लेषण कर सकते हैं; यह जानकारी तब सुरक्षा उत्पाद या समाधान को फीड कर सकती है ताकि संगठनों को मैलवेयर के हमले से खुद को बेहतर ढंग से बचाने में मदद मिल सके। | * समझौता निकासी का संकेतक: समझौता के संभावित नए संकेतकों को निर्धारित करने के लिए सॉफ़्टवेयर उत्पादों और समाधानों के विक्रेता थोक मैलवेयर विश्लेषण कर सकते हैं; यह जानकारी तब सुरक्षा उत्पाद या समाधान को फीड कर सकती है ताकि संगठनों को मैलवेयर के हमले से खुद को बेहतर ढंग से बचाने में मदद मिल सके। | ||
| Line 12: | Line 12: | ||
जिस पद्धति से मैलवेयर विश्लेषण किया जाता है वह आमतौर पर दो प्रकारों में से एक के अंतर्गत आती है: | जिस पद्धति से मैलवेयर विश्लेषण किया जाता है वह आमतौर पर दो प्रकारों में से एक के अंतर्गत आती है: | ||
* स्टेटिक मैलवेयर विश्लेषण: स्टेटिक या [[कोड विश्लेषण]] आमतौर पर बाइनरी फ़ाइल के विभिन्न संसाधनों को 'इसे क्रियान्वित किए बिना'' विच्छेदित करके और प्रत्येक घटक का अध्ययन करके किया जाता है। IDA या Ghidra जैसे डिसअसेंबलर का उपयोग करके बाइनरी फ़ाइल को भी डिसअसेंबल (या [[रिवर्स इंजीनियरिंग]]) किया जा सकता है। मशीन कोड को कभी-कभी असेंबली कोड में अनुवादित किया जा सकता है जिसे मनुष्यों द्वारा पढ़ा और समझा जा सकता है: मैलवेयर विश्लेषक तब असेंबली को पढ़ सकता है क्योंकि यह प्रोग्राम के अंदर विशिष्ट कार्यों और कार्यों से संबंधित है, फिर असेंबली निर्देशों को समझें और ए कार्यक्रम क्या कर रहा है और इसे मूल रूप से कैसे डिजाइन किया गया था, इसका बेहतर दृश्य। असेंबली देखने से मालवेयर एनालिस्ट/रिवर्स इंजीनियर को इस बात की बेहतर समझ मिलती है कि क्या होना चाहिए बनाम वास्तव में क्या हो रहा है और छिपे हुए कार्यों या अनपेक्षित कार्यक्षमता को मैप करना शुरू करें। कुछ आधुनिक मैलवेयर इस प्रकार के विश्लेषण को विफल करने के लिए कपटपूर्ण तकनीकों का उपयोग करके लिखे गए हैं, उदाहरण के लिए सिंटैक्टिक कोड त्रुटियों को एम्बेड करके जो डिस्सेबलर्स को भ्रमित करेगा लेकिन वह वास्तविक निष्पादन के दौरान अभी भी कार्य करेगा।<ref>{{cite book|last1=Honig|first1=Andrew|last2=Sikorski|first2=Michael|title=व्यावहारिक मैलवेयर विश्लेषण|date=February 2012|publisher=No Starch Press|isbn=9781593272906|url=https://www.safaribooksonline.com/library/view/practical-malware-analysis/9781593272906/|access-date=5 July 2016}}</ref> | * स्टेटिक मैलवेयर विश्लेषण: स्टेटिक या [[कोड विश्लेषण]] आमतौर पर बाइनरी फ़ाइल के विभिन्न संसाधनों को 'इसे क्रियान्वित किए बिना'' विच्छेदित करके और प्रत्येक घटक का अध्ययन करके किया जाता है। IDA या Ghidra जैसे डिसअसेंबलर का उपयोग करके बाइनरी फ़ाइल को भी डिसअसेंबल (या [[रिवर्स इंजीनियरिंग]]) किया जा सकता है। मशीन कोड को कभी-कभी असेंबली कोड में अनुवादित किया जा सकता है जिसे मनुष्यों द्वारा पढ़ा और समझा जा सकता है: मैलवेयर विश्लेषक तब असेंबली को पढ़ सकता है क्योंकि यह प्रोग्राम के अंदर विशिष्ट कार्यों और कार्यों से संबंधित है, फिर असेंबली निर्देशों को समझें और ए कार्यक्रम क्या कर रहा है और इसे मूल रूप से कैसे डिजाइन किया गया था, इसका बेहतर दृश्य। असेंबली देखने से मालवेयर एनालिस्ट/रिवर्स इंजीनियर को इस बात की बेहतर समझ मिलती है कि क्या होना चाहिए बनाम वास्तव में क्या हो रहा है और छिपे हुए कार्यों या अनपेक्षित कार्यक्षमता को मैप करना शुरू करें। कुछ आधुनिक मैलवेयर इस प्रकार के विश्लेषण को विफल करने के लिए कपटपूर्ण तकनीकों का उपयोग करके लिखे गए हैं, उदाहरण के लिए सिंटैक्टिक कोड त्रुटियों को एम्बेड करके जो डिस्सेबलर्स को भ्रमित करेगा लेकिन वह वास्तविक निष्पादन के दौरान अभी भी कार्य करेगा।<ref>{{cite book|last1=Honig|first1=Andrew|last2=Sikorski|first2=Michael|title=व्यावहारिक मैलवेयर विश्लेषण|date=February 2012|publisher=No Starch Press|isbn=9781593272906|url=https://www.safaribooksonline.com/library/view/practical-malware-analysis/9781593272906/|access-date=5 July 2016}}</ref> | ||
* डायनेमिक मालवेयर एनालिसिस: डायनेमिक या बिहेवियरल एनालिसिस मालवेयर के व्यवहार को देखकर किया जाता है, जबकि यह वास्तव में होस्ट | * डायनेमिक मालवेयर एनालिसिस: डायनेमिक या बिहेवियरल एनालिसिस मालवेयर के व्यवहार को देखकर किया जाता है, जबकि यह वास्तव में होस्ट प्रणाली पर चल रहा होता है। मैलवेयर को वास्तव में उत्पादन प्रणालियों को संक्रमित करने से रोकने के लिए विश्लेषण का यह रूप अक्सर एक [[सैंडबॉक्स (कंप्यूटर सुरक्षा)]] में किया जाता है; ऐसे कई सैंडबॉक्स वर्चुअल प्रणाली हैं जिन्हें विश्लेषण पूरा होने के बाद आसानी से एक साफ स्थिति में वापस लाया जा सकता है। मैलवेयर को [[डिबगिंग टूल]] जैसे GNU डीबगर या [[WinDbg]] का उपयोग करते हुए भी डिबग किया जा सकता है ताकि मैलवेयर के होस्ट प्रणाली पर व्यवहार और प्रभावों को चरण दर चरण देखा जा सके, जबकि इसके निर्देशों को संसाधित किया जा रहा है। आधुनिक मैलवेयर आभासी वातावरण या सक्रिय डिबगर के लिए परीक्षण, मॉलिसियस पेलोड के निष्पादन में देरी, या इंटरैक्टिव उपयोगकर्ता इनपुट के कुछ प्रकार की आवश्यकता सहित गतिशील विश्लेषण को पराजित करने के लिए डिज़ाइन की गई विस्तृत विविधता वाली तकनीकों का प्रदर्शन कर सकता है।<ref>{{cite web|url=https://www.sans.org/reading-room/whitepapers/forensics/detecting-malware-sandbox-evasion-techniques-36667|title=मैलवेयर और सैंडबॉक्स चोरी तकनीक का पता लगाना|first1=Dilshan|last1=Keragala|date=January 2016|publisher=SANS Institute}}</ref> | ||
== चरण == | == चरण == | ||
मॉलिसियस सॉफ़्टवेयर की जांच में कई चरण सम्मिलित हैं, जिनमें निम्नलिखित सम्मिलित हैं, लेकिन इन तक सीमित नहीं हैं: | |||
* मैनुअल कोड रिवर्सिंग | * मैनुअल कोड रिवर्सिंग | ||
Revision as of 19:12, 14 May 2023
मैलवेयर विश्लेषण किसी दिए गए मैलवेयर मानक जैसे कंप्यूटर वायरस, कंप्यूटर वर्म, ट्रोजन हॉर्स (कंप्यूटिंग), रूटकिट , या बैकडोर (कंप्यूटिंग) की कार्यक्षमता, उत्पत्ति और संभावित प्रभाव का निर्धारण करने का अध्ययन या प्रक्रिया है।[1] मैलवेयर या मॉलिसियस सॉफ़्टवेयर कोई भी कंप्यूटर सॉफ़्टवेयर है जिसका उद्देश्य होस्ट ऑपरेटिंग प्रणाली को हानि पहुँचाना या उपयोगकर्ता संगठनों या कंपनियों से संवेदनशील डेटा चोरी करना है। मैलवेयर में ऐसे सॉफ़्टवेयर सम्मिलित हो सकते हैं जो अनुमति के बिना उपयोगकर्ता की जानकारी एकत्र करते हैं।[2]
मामलों का प्रयोग करें
तीन विशिष्ट उपयोग मामले हैं जो मैलवेयर विश्लेषण की आवश्यकता को पूरा करते हैं:
- कंप्यूटर सुरक्षा घटना प्रबंधन: यदि किसी संगठन को पता चलता है या संदेह है कि कुछ मैलवेयर उसके प्रणाली में आ गए हैं, तो एक प्रतिक्रिया टीम किसी भी संभावित मानक पर मैलवेयर विश्लेषण करने की इच्छा कर सकती है जो जांच प्रक्रिया के दौरान पता लगाने के लिए कि क्या वे मैलवेयर हैं और, यदि हां, तो उस मैलवेयर का लक्ष्य संगठनों के वातावरण में प्रणाली पर क्या प्रभाव पड़ सकता है।
- मैलवेयर अनुसंधान: अकादमिक या उद्योग मैलवेयर शोधकर्ता मैलवेयर कैसे व्यवहार करते हैं और इसके निर्माण में उपयोग की जाने वाली नवीनतम तकनीकों को समझने के लिए मैलवेयर विश्लेषण कर सकते हैं।
- समझौता निकासी का संकेतक: समझौता के संभावित नए संकेतकों को निर्धारित करने के लिए सॉफ़्टवेयर उत्पादों और समाधानों के विक्रेता थोक मैलवेयर विश्लेषण कर सकते हैं; यह जानकारी तब सुरक्षा उत्पाद या समाधान को फीड कर सकती है ताकि संगठनों को मैलवेयर के हमले से खुद को बेहतर ढंग से बचाने में मदद मिल सके।
प्रकार
जिस पद्धति से मैलवेयर विश्लेषण किया जाता है वह आमतौर पर दो प्रकारों में से एक के अंतर्गत आती है:
- स्टेटिक मैलवेयर विश्लेषण: स्टेटिक या कोड विश्लेषण आमतौर पर बाइनरी फ़ाइल के विभिन्न संसाधनों को 'इसे क्रियान्वित किए बिना विच्छेदित करके और प्रत्येक घटक का अध्ययन करके किया जाता है। IDA या Ghidra जैसे डिसअसेंबलर का उपयोग करके बाइनरी फ़ाइल को भी डिसअसेंबल (या रिवर्स इंजीनियरिंग) किया जा सकता है। मशीन कोड को कभी-कभी असेंबली कोड में अनुवादित किया जा सकता है जिसे मनुष्यों द्वारा पढ़ा और समझा जा सकता है: मैलवेयर विश्लेषक तब असेंबली को पढ़ सकता है क्योंकि यह प्रोग्राम के अंदर विशिष्ट कार्यों और कार्यों से संबंधित है, फिर असेंबली निर्देशों को समझें और ए कार्यक्रम क्या कर रहा है और इसे मूल रूप से कैसे डिजाइन किया गया था, इसका बेहतर दृश्य। असेंबली देखने से मालवेयर एनालिस्ट/रिवर्स इंजीनियर को इस बात की बेहतर समझ मिलती है कि क्या होना चाहिए बनाम वास्तव में क्या हो रहा है और छिपे हुए कार्यों या अनपेक्षित कार्यक्षमता को मैप करना शुरू करें। कुछ आधुनिक मैलवेयर इस प्रकार के विश्लेषण को विफल करने के लिए कपटपूर्ण तकनीकों का उपयोग करके लिखे गए हैं, उदाहरण के लिए सिंटैक्टिक कोड त्रुटियों को एम्बेड करके जो डिस्सेबलर्स को भ्रमित करेगा लेकिन वह वास्तविक निष्पादन के दौरान अभी भी कार्य करेगा।[3]
- डायनेमिक मालवेयर एनालिसिस: डायनेमिक या बिहेवियरल एनालिसिस मालवेयर के व्यवहार को देखकर किया जाता है, जबकि यह वास्तव में होस्ट प्रणाली पर चल रहा होता है। मैलवेयर को वास्तव में उत्पादन प्रणालियों को संक्रमित करने से रोकने के लिए विश्लेषण का यह रूप अक्सर एक सैंडबॉक्स (कंप्यूटर सुरक्षा) में किया जाता है; ऐसे कई सैंडबॉक्स वर्चुअल प्रणाली हैं जिन्हें विश्लेषण पूरा होने के बाद आसानी से एक साफ स्थिति में वापस लाया जा सकता है। मैलवेयर को डिबगिंग टूल जैसे GNU डीबगर या WinDbg का उपयोग करते हुए भी डिबग किया जा सकता है ताकि मैलवेयर के होस्ट प्रणाली पर व्यवहार और प्रभावों को चरण दर चरण देखा जा सके, जबकि इसके निर्देशों को संसाधित किया जा रहा है। आधुनिक मैलवेयर आभासी वातावरण या सक्रिय डिबगर के लिए परीक्षण, मॉलिसियस पेलोड के निष्पादन में देरी, या इंटरैक्टिव उपयोगकर्ता इनपुट के कुछ प्रकार की आवश्यकता सहित गतिशील विश्लेषण को पराजित करने के लिए डिज़ाइन की गई विस्तृत विविधता वाली तकनीकों का प्रदर्शन कर सकता है।[4]
चरण
मॉलिसियस सॉफ़्टवेयर की जांच में कई चरण सम्मिलित हैं, जिनमें निम्नलिखित सम्मिलित हैं, लेकिन इन तक सीमित नहीं हैं:
- मैनुअल कोड रिवर्सिंग
- इंटरएक्टिव व्यवहार विश्लेषण
- स्थैतिक गुण विश्लेषण
- पूरी तरह से स्वचालित विश्लेषण
संदर्भ
- ↑ "मैलवेयर विश्लेषण में उन्नत अनुसंधान का अंतर्राष्ट्रीय जर्नल" (PDF). ijarcsse. Archived from the original (PDF) on 2016-04-18. Retrieved 2016-05-30.
- ↑ "मैलवेयर परिभाषा". Retrieved 2016-05-30.
- ↑ Honig, Andrew; Sikorski, Michael (February 2012). व्यावहारिक मैलवेयर विश्लेषण. No Starch Press. ISBN 9781593272906. Retrieved 5 July 2016.
- ↑ Keragala, Dilshan (January 2016). "मैलवेयर और सैंडबॉक्स चोरी तकनीक का पता लगाना". SANS Institute.
