MĐ C2

phân tích tĩnh

phân tích động

quét chữ ký

so sánh mã băm

dịch ngược mã nguồn

Phân tích chuỗi (String Analysis)

Phân tích cấu trúc (Structure Analysis)

Giải mã (Disassembly/Decompilation)

Phân tích dòng dữ liệu (Data Flow Analysis)

Phân tích luồng điều khiển (Control Flow Analysis)

Xác định giao diện người dùng của chương trình

Kiểm tra chữ ký số và thông tin chứng thực

Hiểu rõ hành vi, luồng điều khiển và luồng dữ liệu bên trong chương trình

Đánh giá khả năng kết nối mạng của chương trình

Phát hiện các tệp đính kèm độc hại trong email

Địa chỉ IP mà tệp kết nối đến

Loại và định dạng tệp, từ đó xác định chương trình dùng để mở

Ngày giờ tạo tệp trên hệ thống

Độ dài và dung lượng của tệp

Cấu trúc mã nguồn được sử dụng trong tệp

4D 5A (ASCII MZ) ; 7F 45 4C 46 (ASCII \x7FELF)

50 45 00 00 (ASCII PE\0\0) ; 23 21 (ASCII #!)

4D 5A (ASCII MZ) ; 7E 45 4C 46

25 50 44 46 (ASCII %PDF) ; 7F 45 4C 46

7F 45 4C 46 ; 4D 5A

Tệp chỉ là phần mềm nén thông thường

Tệp chứa dữ liệu văn bản vô hại

Tệp có khả năng chứa mã độc hoặc hành vi tấn công

Tệp thuộc loại script tự động cập nhật

Tệp là bản vá (patch) an toàn của hệ điều hành

Tăng tốc độ thực thi của chương trình bằng cách tối ưu hóa bytecode.

Bảo đảm tính toàn vẹn dữ liệu bằng cách áp dụng hàm băm một chiều.

Che giấu hành vi và làm khó việc phát hiện/phân tích (trong đó chuỗi bị ẩn để tránh bị phát hiện bởi các công cụ trích xuất chuỗi)

Chuyển đổi mã nguồn sang dạng ngôn ngữ khác để tương thích hệ điều hành.

Giảm kích thước file bằng thuật toán nén không mất dữ liệu.