今天学习的内容是让大家简单的了解下病毒动态分析技术，若有不当之处希望伙伴们可以指出，让我们共同完善，共同进步
注意：文章内容只是分享自身的知识储备，只是自身的理解，不一定准确，希望观看的时候只是参考，思维不要被其所局限。
开始进入正文：

知识储备

优点

有的病毒在静态分析时鉴定为正常，但实际会在运行时进行恶意行为，故常用动态分析技术进行收尾（病毒制作者常在病毒制作途中，对病毒进行静态免杀处理，来规避病毒分析软件）

虚拟环境

安全考虑，多数的动态分析是在虚拟机中进行的

起因

因未知的计算机病毒充满了不确定性，在进行动态分析的时候，又需要运行计算机病毒，监控病毒的行为，安全考虑，需要一个安全、可控的运行环境，来降低病毒所带来的危害
常见危害例举：

常见虚拟机软件

• Vmware
• VirtulBox
• Hyper-V
• Parallels
• Xen
• QEMU
• Android模拟器（此类产品过多就不单独举例了）

弊端

因虚拟出来的毕竟不是真实环境，故存在一些限制或弊端
常见限制或弊端例举：

行为监控

病毒产生危害时，往往会进行一些恶意或危险行为，可通过一些监控软件，监控被分析应用运行后都做了什么，进而判断是否为恶意文件，监控的运行行为也可为后期专杀/清理工具提供参考。
常见可用于分析的行为例举：

• 网络行为
  发送网络连接请求，进行远程控制，下载恶意代码，本地数据监听，传输敏感数据等等
• 系统修改
  开机自启，创建计划任务，创建隐藏账号，开启端口，感染、替换系统文件，创建、停止服务，破坏系统运行结构，对注册表进行修改、删除、添加等等
• 其它行为
  修改文件属性，删除、读取、新增、加密、释放文件，劫持进程，关闭、探测某些程序或进行，运行环境监测，执行攻击指令等等

常用工具

工具来源已公开产品、自身定制开发

软件调试类

在动态分析时，常通过调试器运行所分析程序或用调试器附加所分析的进程，来分析所分析程序是否存在恶意行为
常见调试器例举：

• x64dbg
  Windows 下的 32/64 位调试器
• olldbg
  汇编分析调试器
• immunity debugger
  Immunity Debugger是编写漏洞、分析恶意软件和逆向工程二进制文件的一种强大的新方法。它建立在一个坚实的用户界面上，带有函数图解，是业界第一个专门为堆创建而建立的堆分析工具，以及一个庞大的、支持良好的Python API，便于扩展。
• windbg
  Windows 调试程序 (WinDbg) 可用于调试内核模式和用户模式代码、分析故障转储以及在代码执行时检查 CPU 寄存器。
• dnspy
  dnSpy是一个调试器和.NET程序集编辑器。你可以用它来编辑和调试程序集，即使你没有任何源代码可用
• GDB
  GDB，GNU项目调试器，允许你在另一个程序执行时看到它的 "内部 "情况--或者另一个程序在崩溃时正在做什么。
• drozer
  领先的Android安全评估框架
• frida
  为开发人员、逆向工程人员和安全研究人员提供的动态工具箱

监测类

在动态分析时，常通过一些监测工具，监测程序运行后都干了什么，来分析所分析程序是否存在恶意行为
常见监测工具例举：

• 防火墙
  GlassWire、FortKnox Firewall、TinyWall、WFN、OpenSnitch、、、
• 网络数据监控
  火绒剑、Windows Sysinternals工具集、Directory Monitor、Process Hacker、Process Lasso、FSMonitor等等
• 自动化恶意软件分析环境
  在线病毒分析沙箱、在线查杀引擎、Cuckoo等等

注入技术

[注意]看雪招聘，专注安全领域的专业人才平台！