5. 惡意代碼分析

惡意代碼分析是指利用多種分析工具掌握惡意代碼樣本程序的行為特征，了解其運行方式及安全危害，是準確檢測和清除惡意代碼的關鍵環節。為了抵抗安全防護軟件，惡意代碼使用的隱藏和自我保護技術越來越復雜，以便在系統中長期生存。目前，常用惡意代碼的分析方法可以分為靜態分析和動態分析兩種。這兩種方法結合使用，能較為全面的收集惡意代碼的相關信息，以達到較好的分析效果。

1）靜態分析

靜態分析不需要實際執行惡意代碼，它通過對其二進制文件的分析，獲得惡意代碼的基本結構和特征，了解其工作方式和機制。惡意代碼特征分析是靜態分析中使用的一種基本方法。它通過查找惡意代碼二進制程序中嵌入的可疑字符串，如：文件名稱、URL地址、域名、調用函數等，來進行分析判斷。反匯編分析使用反匯編工具將惡意代碼程序或感染惡意代碼的程序本身轉換成匯編代碼，通過相關分析工具對匯編代碼進行詞法、語法、控制流等分析，掌握惡意代碼的功能結構。由于不需要運行惡意代碼，靜態分析方法不會影響運行環境的安全。另一方面，靜態分析方法可以分析惡意代碼的所有執行路徑，但是隨著程序復雜度的提高，執行路徑數量龐大，冗余路徑增多，會出現分析效率很低的情況，甚至導致分析無法完成。