В идеале, да, нужно смотреть в безопасном окружении. Но большую часть статического анализа с файлом можно выполнить на рабочем компьютере. Windows до сих пор наиболее распространённая ОС среди конечных пользователей не только в РФ, но и по миру. В linux, конечно, сразу решается большая часть вопросов по безопасному анализу, но не все готовы туда перескочить. Здесь же говорится про то, что есть тушка вредоноса на диске, и эту тушку уже исследуют (это может быть eml с вложением, PE файл, документ с макросом или эксплоитом, и т.д.).
Но это же не спасёт от заражения конкретного компьютера, где проводится анализ. Возьмём, к примеру, Trojan-Ransom (вымогатель), который просто зашифрует все файлы типа документы.
Чаще всего исходников нет, и работать нужно с бинарём. Обычно вредоносные файлы распространяются без сопровождающего кода и документации. Но с кодом, конечно, тоже приходится работать. Кстати, я бы прочёл, что значит в данном случае через пайп.
Это как если нас не существует, а мы лишь вымышленные персонажи двухтомника, над которыми настоящие существующие смеются и нетерпением ждут очередного анекдота в наших сценариях
И вся статейка теряет смысл ))
Это верно, но для динамического анализа. Здесь всё же говорится про статический анализ
В любом случае спасибо, теперь буду обращать внимание на такую особенность. Вдруг встретится
не встречал, к сожалению. Но с удовольствием взглянул бы. Интересный кейс
У вредоноса не было шансов
В идеале, да, нужно смотреть в безопасном окружении. Но большую часть статического анализа с файлом можно выполнить на рабочем компьютере. Windows до сих пор наиболее распространённая ОС среди конечных пользователей не только в РФ, но и по миру. В linux, конечно, сразу решается большая часть вопросов по безопасному анализу, но не все готовы туда перескочить. Здесь же говорится про то, что есть тушка вредоноса на диске, и эту тушку уже исследуют (это может быть eml с вложением, PE файл, документ с макросом или эксплоитом, и т.д.).
Но это же не спасёт от заражения конкретного компьютера, где проводится анализ. Возьмём, к примеру, Trojan-Ransom (вымогатель), который просто зашифрует все файлы типа документы.
Чаще всего исходников нет, и работать нужно с бинарём. Обычно вредоносные файлы распространяются без сопровождающего кода и документации. Но с кодом, конечно, тоже приходится работать. Кстати, я бы прочёл, что значит в данном случае через пайп.
Это как если нас не существует, а мы лишь вымышленные персонажи двухтомника, над которыми настоящие существующие смеются и нетерпением ждут очередного анекдота в наших сценариях
? а впереди ещё виднелась IDA Pro и даже ни намёка на Ghidra ))
Спасибо!