问识别一件恶意软件的作者(S)

EN

根据恶意软件作者的技能水平，有许多不同的技术：

• 嵌入式元数据编译程序可以包含关于其作者的详细信息。这在合法程序中最常见，如果您查看Windows属性，则显示在详细信息屏幕中。那些出类拔萃的攻击者很可能会在这些领域中提供识别细节。
• 意外嵌入-编译器通常会包括使用的编译器标志的详细信息，这很可能包括源文件的路径。如果源文件是在/users/evilbob/malware中，那么您可以很好地猜测邪恶的bob编写了它。有一些方法可以关闭这些夹杂，但每个人有时都会出错。
• 常见的代码-恶意软件作者和任何其他程序员一样，将重用以前工作中有用的代码。有时可能会发现，一段编译后的代码与先前发现的一段代码非常接近，似乎每个代码都使用了相同的源代码。如果是这样的话，可以推断出第二个作者可以从第一个人访问代码，或者可以是同一个人。
• 常见的工具链--如果开发人员倾向于使用Visual，那么会意外地看到他们的代码出现在GCC的编译中。如果他们使用一个特定的封隔器，看到他们使用不同的封隔器是很奇怪的。这并不完美，但它可以表明一个区别。
• 常见的技术--与上述类似，编码器通常有特定的编码模式。人们不太可能转换模式，因此您可以合理地猜测，如果某些编译后的代码无法以特定的编码风格生成，那么它可能不是由以前已知使用不同样式的人编写的。对于解释语言来说，这要容易得多，因为一致地使用for循环而不是while循环比发现每个循环的编译输出之间的差异更容易(现代编译器很可能将它们减少到完全相同的指令集)。
• 恶意软件的来源-它从哪里来的？它是否有任何特定语言的文本，或显示特定背景的排版？(例如，colour认为作者不是美国人，generale可能建议那些习惯用法语或意大利语写作的人)

所有这些都不足以确定作者，但结合起来，他们可能会建议一个共同的作者与以前的恶意软件，甚至与其他已知的代码(例如，从操作系统项目)。

马修的回答很好。还有其他一些方法。

• 并不是很多恶意软件作者都那么聪明。例如，您可以在记事本中打开许多可执行文件并查找字符串数据。我见过无数的作者，他们只是把他们的电子邮件地址/服务器名、用户名和密码放在一个字符串中，而它实际上显示了记事本。
• 逆向工程恶意软件的作者谁混淆了上述步骤。
• 找到恶意软件所连接的地址，并调查其背后的任何人。如果是一种特定类型的恶意软件感染了很多机器，那么开发人员可能已经知道了。如果没有，跟踪它到源。到处都是数据线索。