Что такое анализ вредоносных программ?
Анализ вредоносных программ — это процесс, который исследует функционирование, цели и потенциальное воздействие вредоносного программного обеспечения (вредоносных программ). Этот тип анализа имеет первостепенное значение в мире кибербезопасности, поскольку вредоносное ПО становится все более сложным и всепроникающим.

Анализ файлов можно разделить на два вида:

1. Статический, при котором файл исследуется без его исполнения;
2. Динамический, когда инициируется запуск файла в безопасной среде (тестовая железка или виртуальная машина).

Стоит отметить, что соблюдения перечисленных правил полностью не обезопасят вас от заражения компьютера или потери данных, связанных с неосторожной работой с вредоносными файлами. Но значительно повысят надёжность вашего рабочего окружения.

Итак, что нас подстерегает при анализе вредоносного ПО:

1. Случайный запуск исполняемого файла.
2. Эксплуатация уязвимости в анализируемом ПО.
3. Блокировка антивирусом работы утилиты или удаление самого анализируемого файла.

Что такое Volatility
Volatility — инструмент криминалистической экспертизы памяти с открытым исходным кодом для анализа оперативной памяти, который часто используется при анализе вредоносного ПО для извлечения информации из дампов памяти. Инструмент позволяет изучать память работающей или спящей системы и выполнять различные методики анализа для выявления и понимания вредоносной активности.

Однако, если вы используете Kali Linux, он устанавливается по умолчанию.

В системах на основе Debian просто установите его с помощью следующей команды:

Преимущества Volatility:

• Написан на Python: многим аналитикам памяти удобно работать со скриптами Python.
• Кроссплатформенный: Volatility может работать на любой платформе, поддерживающей Python, что означает, что вам не нужно тратить время на загрузку или установку.
• Имеет открытый исходный код.
• Бесплатный.
• Позволяет создавать скрипты: вы можете автоматизировать задачи с помощью Volatility, так как он легко позволяет использовать скрипты.

Команды в Volatility
Вот основные команды в Volatility, которые часто используются при анализе вредоносного ПО:

imageinfo — отображает основную информацию о дампе памяти, такую как профиль, версию операционной системы и уровень обновления.

pslist — команда выводит список всех запущенных процессов в дампе памяти.

psscan — сканирует процессы в памяти и может быть полезной для обнаружения скрытых или завершенных процессов.

pstree — команда отображает дерево процессов, показывая связи между родительскими и дочерними процессами.

dlllist — выводит список всех загруженных DLL-библиотек для каждого процесса.

handles — отображает все открытые дескрипторы (handles) в дампе памяти.

cmdscan — сканирует историю командной строки в дампе памяти.

getsids — выводит список всех идентификаторов безопасности (SIDs) в дампе памяти.

apihooks — идентифицирует процессы, в которых установлены зацепления API.

malfind — сканирует внедренный код или потенциально вредоносный код в работающих процессах.

malsysproc — идентифицирует потенциально вредоносные процессы на основе эвристик.

malfind, malprocfind и malfind2 — эти команды можно использовать вместе для сканирования внедренного кода или вредоносных процессов.

Не забудьте заменить путем к вашему файлу дампа памяти и на соответствующий профиль для операционной системы и архитектуры дампа памяти.

Это только базовый набор команд; Volatility предоставляет множество дополнительных плагинов и функций для расширенного анализа памяти.

Заключение
Анализ вредоносных программ помогает улучшить свою защиту от киберугроз. Процесс анализа позволяет понять методы распространения, цели и векторы атак вредоносных программ. Volatility является важным набором инструментов для анализа вредоносного ПО, так как информация, полученная с помощью этого инструмента, может быть использована для оптимизации мер безопасности.