21. Malware Analysis

Das Kapitel "Malware-Analyse" konzentriert sich auf die wesentlichen Techniken zur Erkennung von Malware durch Speicheranalyse. Es beginnt mit der Erklärung der Grundlagen des Verständnisses normaler Computeroperationen, um Anomalien zu identifizieren, die auf Malware hindeuten. Zu den diskutierten Schlüsselwerkzeugen gehören Volatilität 2.6 und Redline, die verwendet werden, um verdächtige Prozesse und Netzwerkaktivitäten zu erkennen. Das Kapitel zeigt Schritt für Schritt anhand eines mit dem Trojanischen Pferd SpyEye infizierten Speicherbeispiels, wie man Volatilitätsmodule wie pslist, psscan und malfind verwendet, um versteckte Prozesse und bösartigen Code aufzudecken. Darüber hinaus stellt das Kapitel Redline vor, ein grafisches Speicheranalysewerkzeug von FireEye, das seine Fähigkeiten bei der Datenerhebung, -analyse und Analyse von Kompromissindikatoren (IOC) hervorhebt. Während des gesamten Kapitels werden die Leser durch praktische Techniken geführt, um bösartige Aktivitäten zu erkennen und zu analysieren, was sie zu einer unschätzbaren Ressource für Cybersicherheitsexperten macht.