malware-analyst

Umiejętność eksperta do analizy malware'u, obejmująca badania defensywne, analizę behawioralną i identyfikację rodzin złośliwego oprogramowania. Obsługuje analizę statyczną i dynamiczną, rozpakowanie, ekstrakcję stringów oraz wyodrębnianie wskaźników kompromitacji (IOC). Użyj do triażu malware'u, polowania na zagrożenia, reagowania na incydenty lub badań bezpieczeństwa.

1. Przygotuj próbkę pliku do analizy — może to być plik wykonywalny (.exe), biblioteka dynamiczna (.dll) lub inny binarny artefakt podejrzany o złośliwość.

2. Przeprowadź identyfikację pliku i wstępną analizę statyczną: użyj polecenia file do określenia typu pliku, oblicz sumę SHA256 dla śledzenia próbki, wyodrębnij stringi za pomocą strings lub FLOSS (do stringów zaciemnionych), a następnie wykryj packer za pomocą Detect It Easy (diec) lub exeinfope.

3. Przeanalizuj importy i funkcje: użyj rabin2 lub dumpbin do wylistowania importowanych funkcji systemowych, które ujawnią intencje malware'u (dostęp do sieci, rejestr, system plików).

4. Załaduj binarny do disassemblera (IDA Pro, Ghidra lub Binary Ninja) i zmapuj przepływ wykonania — zidentyfikuj punkt wejścia, główne funkcje oraz kluczowe punkty decyzyjne, aby zrozumieć logikę złośliwego oprogramowania.

5. Przeprowadź analizę dynamiczną w izolowanej maszynie wirtualnej Windows: uruchom narzędzia monitorujące (Process Monitor, Wireshark, Regshot), wykonaj próbkę, obserwuj zachowanie przez 5–10 minut i dokumentuj połączenia sieciowe, zmiany plików, modyfikacje rejestru oraz mechanizmy persystencji.

6. Wyodrębnij wskaźniki kompromitacji (adresy C2, ścieżki plików, nazwy muteksów) i skompiluj raport z wynikami analizy, zawierający identyfikację rodziny malware'u i rekomendacje dla zespołu bezpieczeństwa.