Hvad er reverse engineering malware?
Omvendt engineering malware er en proces sikkerhed fagfolk kan bruge til at lære mere om, hvordan et stykke malware fungerer, så de kan bekæmpe det. De bruger et omhyggeligt kontrolleret computersystem for at se, hvad malware gør, når den er aktiv, ved hjælp af denne information til at sammenstille konstruktionsmetoden og handlingsmekanismen. Disse oplysninger er nyttige til at fjerne malware fra inficerede computere, opdatere antivirus-software, gendanne beskadigede filer eller forberede materiale til retsmedicinsk vidnesbyrd.
Antivirusfirmaer har interesse i reverse engineering malware, fordi de ønsker at holde deres software opdateret og har brug for at lære mere om nye tendenser inden for virus- og malware-design. Deres ingeniører arbejder i laboratorier, der er oprettet til dette formål. Ingeniøren kan inficere en computer, se software handle, ændre parametre og dekonstruere softwarens design. Ud over at studere rå kode, kan ingeniøren også have en interesse i at se, hvad softwaren gør i forskellige miljøer, og i hvordan det ændrer sig over tid.
Når hun er færdig, kan hun tørre computeren for at gendanne den oprindelige tilstand, og vil bruge oplysningerne fra reverse engineering-sessionen til at designe en opdatering til antivirus-softwaren og generere information, som ingeniører vil bruge i fremtidig software-design. Ingeniøren kan også underrette et producent af operativsystemet, hvis et sikkerhedshul ser ud til at være sårbart over for udnyttelse i fremtiden. Omvendt engineering malware er også en del af software og produktudvikling for software virksomheder, herunder producenter af operativsystemer.
Computeringeniører kan også have en interesse i reverse engineering malware som en del af processen med rengøring af en inficeret computer eller netværk. Disse oplysninger er nødvendige for at sikre, at den ondsindede software udryddes fuldstændigt efter oprydningen, og det kan også være nyttigt at løse sikkerhedsproblemer. Hvis softwaren udnyttede et sårbart punkt i et netværks firewall, viser reverse engineering f.eks. Dette og giver information om, hvordan du løser sårbarheden.
Retshåndhævende myndigheder kan også praktisere omvendt konstruktion for at lære mere om malware. Disse oplysninger kan være nyttige til håndtering af inficerede computere i deres forvaring, udføre retsmedicinske undersøgelser og udvikling af bevis for at retsforfølge en malware-skaber. I kriminalteknisk vidnesbyrd skal en datalogi være i stand til at tale om reverse engineering malware for at bestemme dens struktur og funktion på sprog, som en dommer og en jury klart kan forstå. Dette kræver en dyb viden om datalogi og kommunikation, og et overbevisende vidne kan være et værdifuldt værktøj i løbet af en retssag, der er relateret til malware.