Führe mich durch deine zentralen Werkzeuge für statische gegenüber dynamischer Malware-Analyse und wann du jedes einsetzt.
Kurzantwort
Statische Werkzeuge lesen das Sample im Ruhezustand: PEStudio, CFF Explorer und pefile für Header und Imports, FLOSS und strings für eingebetteten Text, capa für das Mapping von Fähigkeiten und Ghidra oder IDA für Disassembly. Dynamische Werkzeuge beobachten es bei der Ausführung in einer isolierten VM: Procmon und Process Hacker für Host-Aktivität, Wireshark und INetSim oder FakeNet für ein gefälschtes Netzwerk, Regshot für Vorher/Nachher-Diffs und x64dbg für kontrolliertes Stepping. Der Workflow ist: statisch triagieren, dynamisch detonieren und dann zum Disassembler zurückkehren, um Verhaltenslücken zu füllen.
Interviewer fragen das, um zu sehen, ob du tatsächlich vor Samples gesessen hast oder nur über Analyse gelesen hast. Werkzeuge zu benennen ist einfach; zu erklären, warum sich jedes seinen Platz im Workflow verdient, unterscheidet einen Praktiker von einem Auswendiglerner.
Statische Werkzeuge — das Sample im Ruhezustand lesen
Der erste Durchgang führt die Datei nie aus. Du beginnst mit Hashes (um VirusTotal und interne Threat Intel abzufragen), dann einem PE-Viewer — PEStudio, CFF Explorer oder die Python-Bibliothek pefile —, um Header, Sektionsnamen und Entropie, die Import Address Table und eingebettete Ressourcen zu lesen. FLOSS erweitert das schlichte strings, indem es Stack-Strings und obfuskierte Strings dekodiert, die statisches strings verpasst. capa mappt Code-Konstrukte auf Verhaltensweisen ("erstellt einen Dienst", "verschlüsselt Daten mit RC4"), indem es Regeln gegen das Disassembly abgleicht, und gibt dir eine Fähigkeitsübersicht, bevor du eine einzige Instruktion liest. Für tiefe Logik öffnest du Ghidra (kostenlos, skriptfähig) oder IDA Pro, um zu disassemblieren und zu dekompilieren.
Dynamische Werkzeuge — bei der Ausführung beobachten
Innerhalb einer isolierten VM mit Snapshots instrumentierst du den Host und das Netzwerk. Procmon erfasst Datei-, Registry- und Prozess-Events; Process Hacker oder Process Explorer zeigen gespawnte Prozesse, injizierte Threads und Handles; Regshot diffft die Registry vor und nach der Detonation. Fürs Netzwerk richtest du das Sample auf ein gefälschtes Internet — INetSim oder FakeNet-NG — und erfasst mit Wireshark, sodass die Malware mit ihrem C2 "spricht", ohne echte Infrastruktur zu erreichen. Wenn Verhalten gegatet ist oder du die Entschlüsselung sehen musst, hängst du x64dbg an und steppst durch.
Der Workflow
Statisch triagieren, dynamisch detonieren und dann zum Disassembler zurückkehren, mit den Laufzeitbeobachtungen als Landkarte. Ein starker Kandidat betont, dass die Werkzeuge komplementär sind, nicht konkurrierend.
Wahrscheinliche Anschlussfragen
- Was bringt capa über eine bloße Prüfung der Import-Tabelle hinaus?
- Warum das Netzwerk mit INetSim fälschen, statt das Sample das echte Internet erreichen zu lassen?
- Wann würdest du in x64dbg einsteigen statt in einen statischen Disassembler?