-Почему w32. Nimda.Amm.Exe является единственным файлом в данных перехвата?
Потому
что
захват
начался
прямо
перед
загрузкой
и
остановился
сразу
после.
Никакой
другой
трафик
не
был
пойман,
пока
был
активен
захват.
-Был ли сохранен файл? Да
-Каким
может
быть
следующий
шаг
аналитика
безопасности
в
процессе
анализа
данного
вредоносного
ПО?
Цель состоит в том, чтобы определить
тип вредоносного
ПО и проанализировать его
поведение. Поэтому файл вредоносного
ПО следует переместить в контролируемую
среду и
запустить
его,
чтобы
наблюдать
за
его
поведением.
Среды
анализа
вредоносного
ПО часто
полагаются
на виртуальные
машины и
изолированы во
избежание
повреждения
нетестовых
систем.
Такие
среды
обычно
содержат
инструменты,
облегчающие
мониторинг
выполнения
вредоносных
программ;
использование
ресурсов, сетевые
подключения и
изменения
операционной системы
являются общими отслеживаемыми
аспектами.
Лаб5