मैलवेयर विश्लेषण

मैलवेयर विश्लेषण किसी दिए गए मैलवेयर नमूने जैसे कंप्यूटर वायरस, कंप्यूटर कीड़ा, ट्रोजन हॉर्स (कंप्यूटिंग), rootkit , या पिछले दरवाजे (कंप्यूटिंग) की कार्यक्षमता, उत्पत्ति और संभावित प्रभाव का निर्धारण करने का अध्ययन या प्रक्रिया है।^[1] मैलवेयर या दुर्भावनापूर्ण सॉफ़्टवेयर कोई भी कंप्यूटर सॉफ़्टवेयर है जिसका उद्देश्य होस्ट ऑपरेटिंग सिस्टम को नुकसान पहुँचाना या उपयोगकर्ताओं, संगठनों या कंपनियों से डेटा का उल्लंघन करना है। मैलवेयर में ऐसे सॉफ़्टवेयर शामिल हो सकते हैं जो अनुमति के बिना उपयोगकर्ता की जानकारी एकत्र करते हैं।^[2]

मामलों का प्रयोग करें

तीन विशिष्ट उपयोग मामले हैं जो मैलवेयर विश्लेषण की आवश्यकता को पूरा करते हैं:

• कंप्यूटर सुरक्षा घटना प्रबंधन: यदि किसी संगठन को पता चलता है या संदेह है कि कुछ मैलवेयर उसके सिस्टम में आ गए हैं, तो एक प्रतिक्रिया टीम किसी भी संभावित नमूने पर मैलवेयर विश्लेषण करने की इच्छा कर सकती है जो जांच प्रक्रिया के दौरान पता लगाने के लिए कि क्या वे मैलवेयर हैं और, यदि हां, तो उस मैलवेयर का लक्ष्य संगठनों के वातावरण में सिस्टम पर क्या प्रभाव पड़ सकता है।
• मैलवेयर अनुसंधान: अकादमिक या उद्योग मैलवेयर शोधकर्ता मैलवेयर कैसे व्यवहार करते हैं और इसके निर्माण में उपयोग की जाने वाली नवीनतम तकनीकों को समझने के लिए मैलवेयर विश्लेषण कर सकते हैं।
• समझौता निकासी का संकेतक: समझौता के संभावित नए संकेतकों को निर्धारित करने के लिए सॉफ़्टवेयर उत्पादों और समाधानों के विक्रेता थोक मैलवेयर विश्लेषण कर सकते हैं; यह जानकारी तब सुरक्षा उत्पाद या समाधान को फीड कर सकती है ताकि संगठनों को मैलवेयर के हमले से खुद को बेहतर ढंग से बचाने में मदद मिल सके।

प्रकार

जिस पद्धति से मैलवेयर विश्लेषण किया जाता है वह आमतौर पर दो प्रकारों में से एक के अंतर्गत आती है:

• स्टेटिक मैलवेयर विश्लेषण: स्टेटिक या कोड विश्लेषण आमतौर पर बाइनरी फ़ाइल के विभिन्न संसाधनों को 'इसे क्रियान्वित किए बिना विच्छेदित करके और प्रत्येक घटक का अध्ययन करके किया जाता है। IDA या Ghidra जैसे डिसअसेंबलर का उपयोग करके बाइनरी फ़ाइल को भी डिसअसेंबल (या रिवर्स इंजीनियरिंग) किया जा सकता है। मशीन कोड को कभी-कभी असेंबली कोड में अनुवादित किया जा सकता है जिसे मनुष्यों द्वारा पढ़ा और समझा जा सकता है: मैलवेयर विश्लेषक तब असेंबली को पढ़ सकता है क्योंकि यह प्रोग्राम के अंदर विशिष्ट कार्यों और कार्यों से संबंधित है, फिर असेंबली निर्देशों को समझें और ए कार्यक्रम क्या कर रहा है और इसे मूल रूप से कैसे डिजाइन किया गया था, इसका बेहतर दृश्य। असेंबली देखने से मालवेयर एनालिस्ट/रिवर्स इंजीनियर को इस बात की बेहतर समझ मिलती है कि क्या होना चाहिए बनाम वास्तव में क्या हो रहा है और छिपे हुए कार्यों या अनपेक्षित कार्यक्षमता को मैप करना शुरू करें। कुछ आधुनिक मैलवेयर इस प्रकार के विश्लेषण को विफल करने के लिए कपटपूर्ण तकनीकों का उपयोग करके लिखे गए हैं, उदाहरण के लिए सिंटैक्टिक कोड त्रुटियों को एम्बेड करके जो डिस्सेबलर्स को भ्रमित करेगा लेकिन वह वास्तविक निष्पादन के दौरान अभी भी कार्य करेगा।^[3]
• डायनेमिक मालवेयर एनालिसिस: डायनेमिक या बिहेवियरल एनालिसिस मालवेयर के व्यवहार को देखकर किया जाता है, जबकि यह वास्तव में होस्ट सिस्टम पर चल रहा होता है। मैलवेयर को वास्तव में उत्पादन प्रणालियों को संक्रमित करने से रोकने के लिए विश्लेषण का यह रूप अक्सर एक सैंडबॉक्स (कंप्यूटर सुरक्षा) में किया जाता है; ऐसे कई सैंडबॉक्स वर्चुअल सिस्टम हैं जिन्हें विश्लेषण पूरा होने के बाद आसानी से एक साफ स्थिति में वापस लाया जा सकता है। मैलवेयर को डिबगिंग टूल जैसे GNU डीबगर या WinDbg का उपयोग करते हुए भी डिबग किया जा सकता है ताकि मैलवेयर के होस्ट सिस्टम पर व्यवहार और प्रभावों को चरण दर चरण देखा जा सके, जबकि इसके निर्देशों को संसाधित किया जा रहा है। आधुनिक मैलवेयर आभासी वातावरण या सक्रिय डिबगर के लिए परीक्षण, दुर्भावनापूर्ण पेलोड के निष्पादन में देरी, या इंटरैक्टिव उपयोगकर्ता इनपुट के कुछ प्रकार की आवश्यकता सहित गतिशील विश्लेषण को पराजित करने के लिए डिज़ाइन की गई विस्तृत विविधता वाली तकनीकों का प्रदर्शन कर सकता है।^[4]

चरण

दुर्भावनापूर्ण सॉफ़्टवेयर की जांच में कई चरण शामिल हैं, जिनमें निम्नलिखित शामिल हैं, लेकिन इन तक सीमित नहीं हैं:

• मैनुअल कोड रिवर्सिंग
• इंटरएक्टिव व्यवहार विश्लेषण
• स्थैतिक गुण विश्लेषण
• पूरी तरह से स्वचालित विश्लेषण

संदर्भ