恶意软件分析是在端点和网络中使用动态分析、静态分析或完全逆向工程来确定和分析可疑文件的一种实践。

强大的恶意软件分析实践有助于分析、检测和降低潜在威胁。恶意软件分析可帮助企业识别在高级攻击、针对性攻击和零日攻击中使用的恶意对象

恶意软件分析很重要，因为它可以帮助安全运维团队快速检测恶意对象，防止恶意对象持久存在于企业中并造成破坏。

恶意软件分析主要有两种类型：

1.静态分析检查文件中是否存在恶意意图的迹象，而不执行程序。这种形式也可用于在进行初始检查之后，由 IT 专业人员进行人工检查，以进一步分析恶意软件与系统的交互方式。静态文档分析寻找文件自身上的异常，而不是执行方式上的异常。

静态分析旨在回答以下问题：

• 是否存在无法在此类型的文档中正常显示的结构异常，例如嵌入式 shellcode、异常宏或其他可执行程序？
• 文档是否有任何缺失或添加的句段？
• 是否存在任何嵌入的文件？
• 是否有任何加密、指纹识别或其他可疑功能？
• 文档中是否存在任何看起来奇怪的内容？

2.动态分析依赖于封闭系统（称为沙箱），以在安全的环境中启动恶意程序，并直接观察它的行为。检查环境模拟整个主机（包括 CPU、系统内存和所有设备），以持续观察恶意对象可能执行的所有操作。专业人员借助此自动化系统可以观察恶意软件的实际行为，而不会导致恶意软件感染自己的系统。动态分析与恶意软件交互以引出每一种恶意行为，从而支持自动化、快速和准确的调查，并且可以支持在企业的基础架构中识别和分析不明确之处

3.对恶意软件逆向工程涉及对软件程序进行反汇编（有时为反编译）。通过此过程，二进制指令将转换为代码助记符（或更高级别的结构），以便工程师可以查看程序的功能及其将会影响的系统。只有了解详细信息，工程师才能够打造可以缓解程序预期恶意影响的解决方案。逆向工程师（也称为“逆向工程人员”）将使用一系列工具来了解程序如何在系统中传播以及程序的设计用途。通过执行这样的操作，逆向工程人员就会知道程序打算利用哪些漏洞

VMware NSX Network Detection and Response (NDR) 通过全系统模拟沙箱提供高级恶意软件分析功能，该沙箱可显示操作系统内的所有恶意软件交互，包括规避行为以及使用先进的 AI 技术深入了解遍历数据中心的所有工件。

VMware 还通过持续的端点检测响应 (EDR) 提供本地威胁追踪和突发事件响应解决方案。VMware 的 EDR 还支持了解脱机环境，该功能持续记录和存储端点活动数据，以便 IT 专业人员能够实时锁定威胁。