Si está buscando realizar un análisis manual de software malintencionado, puede implicar una variedad de tareas, algunas más simples que otras. Estos esfuerzos se pueden agrupar en etapas según la naturaleza de las técnicas de análisis de malware asociadas. Esto no siempre se puede observar, pero en muchos escenarios tiene la oportunidad de realizar una investigación manual
Puede comenzar con un análisis totalmente automatizado que será el más fácil. Esto es lo que normalmente se hace usando varias herramientas para analizar la situación y luego proporcionar el mejor método para resolver el problema. Resolverá el problema, pero deja poco espacio para más atención o el uso de algo más analítico ideal.
Al examinar más de cerca el archivo sospechoso puede proceder al examinar sus propiedades estáticas. Dichos detalles se pueden obtener con relativa rapidez, ya que no implican la ejecución del programa potencialmente malicioso. Las propiedades estáticas incluyen las cadenas incrustadas en el archivo, los detalles del encabezado, los hashes, los recursos incrustados, las firmas del empaquetador, los metadatos, como la fecha de creación, etc.
En ocasiones, considerar las propiedades estáticas puede ser suficiente para definir indicadores básicos de compromiso. Este proceso también ayuda a determinar si el analista debería observar más de cerca la muestra utilizando técnicas más completas y dónde enfocar los pasos subsiguientes. Analizar las propiedades estáticas es útil como parte del esfuerzo de selección de incidentes.
Un análisis de comportamiento también puede ayudar cuando se observa. El análisis de comportamiento implica examinar cómo se ejecuta la muestra en el laboratorio para comprender su registro, sistema de archivos, proceso y actividades de la red.