كمحلل ستواجه ملفات مشبوهه قد تكون عبر البريد الإلكتروني أو ربما يتم إكتشافها عن طريق الـ Antivirus أو تم عمل Detected عن طريق برامج الخاصة بالـ Network Security.

1. الـ Backdoor هو نوع من أنواع البرامج الضارة يتم تثبيتها على جهاز الكمبيوتر بدون علم المستخدم، وتستخدم للسماح للـ Attacker بالوصول إلى النظام أو التطبيقات بطريقة غير مصرح بها. على سبيل المثال من خلال فتح Port أو منفذ متصل بالشبكة لايتم إستخدامه بكثرة أو لم يتم غلقه.

2. الـ Adware هو نوع من البرامج الضارة المصممة لعرض الإعلانات على جهاز الكمبيوتر أو المتصفح، وغالبًا ما يتم تضمينها مع برامج أخرى يقوم المستخدم بتثبيتها دون العلم بوجود Adware. وهي تُعتبر من البرامج الضارة الأقل خطورة، بحيث انها لا تتسبب عادة في الأضرار داخل الجهاز، لكن تُسبب الإزعاج للمستخدمين عن طريق عرض الإعلانات المزعجة ، وبعضها يتم عرضها عن طريق المتصفح بشكل إفتراضي.

3. الـ Ransomware هو نوع من البرامج الضارة التي تستخدم لتشفير الملفات على جهاز الكمبيوتر ومنع المستخدم من الوصول إليها، ومن ثم يتم طلب فدية مالية (Ransom) مقابل إعادة الوصول إلى الملفات المشفرة. يُصنّف إن الـ Ransomware من أخطر أنواع البرامج الضارة، حيث يمكن أن يتسبب في فقدان البيانات والملفات الحساسة والتسبب في أضرار كبيرة للمستخدمين والشركات.

4. الـ Virus هو برنامج ضار تم تصميمه للإنتشار بين الملفات الموجودة على الجهاز، بحيث يُسبّب في أضرار داخلية على الأجهزة والملفات والبيانات المخزنة فيها. يعد فيروس البرمجيات الخبيثة الأشهر والأكثر شيوعًا، حيث يتم تصميمه لتنفيذ أنشطة ضارة على الجهاز المصاب دون علم المستخدم ، تحتوي هذه الفيروسات على ميزة النسخ الذاتي أو مايُسمى بالـ Self-Replicate بحيث يُصيب الملفات الأخرى الموجودة على الجهاز.

5. الـ Worm هذا النوع من البرامج الضارة ينتشر من الأجهزة المصابة إلى الأجهزة الأخرى ، فإنه يُسمى الفيروس المتنقل. يختلف الـ Worm عن الـ Virus بأن الـ Virus تنتشر عادةً عن طريق التحميل من الإنترنت أو البريد الإلكتروني أو الـ USB عادة ما تستهدف ملفات النظام والبرامج الأخرى لتدميرها أو تعطيلها. بينما الـ Worm تنتشر عن شبكة الإنترنت أو الشبكة المحلية دون تدخل المستخدم يمكن أن يسببوا أضرارًا أكبر، مثل اختراق الأجهزة وسرقة المعلومات الحساسة وتعطيل الخوادم والشبكات.

6. الـ Rootkit يُعتبر هذا النوع من البرامج الضارة التي تهدف إلى إخفاء وجودها في نظام التشغيل، والتي تعطل أو تحاول تجاهل عمليات الكشف عنها من قبل برامج مكافحة الفيروسات وأدوات الأمان الأخرى. وعادةً ما يتم تصميم الـ Rootkit لغايات الاختراق السري والتجسس، حيث يقوم بتحميل نفسه في نواة النظام (Kernel) ويمنح المهاجمين الوصول الكامل إلى النظام والمعلومات المخزنة فيه ، ويستخدم الـ Rootkit أساليب متطورة للتخفي والإخفاء من أدوات الأمان، مثل تعديل ملفات النظام وتحويل اسماء الملفات والمجلدات والعمليات المشبوهة، وأيضاً يمكنه تغيير السجلات والمفاتيح في قاعدة بيانات النظام لتجنب الكشف.

7. الـ RAT (Remote Access Trojan) وهو نوع من البرامج الضارة التي تسمح للمهاجمين بالتحكم عن بعد في أجهزة الكمبيوتر ، يتم تثبيت RAT عادة عن طريق التحميل من مواقع الإنترنت غير الموثوقة أو البرامج المشاركة في الملفات، وفي بعض الأحيان يتم تثبيت RAT من خلال الاستغلال الأمني في النظام ، وبمجرد تثبيت RAT يمكن للمهاجمين استخدامه للتحكم في جهاز الكمبيوتر الخاص بالـ victim عن بعد والتحكم فيه بكل سهولة، مثل الوصول إلى الملفات والمجلدات والبرامج، وتشغيل أو إيقاف تشغيل ملفات النظام، وتثبيت برامج ضارة أخرى، والتجسس على الأنشطة المستخدمة وسرقة المعلومات الحساسة.

8. الـ Banking Malware هو نوع من البرامج الضارة التي تستهدف المعاملات المالية على الإنترنت وتستخدم لسرقة المعلومات المصرفية والمالية للمستخدمين. وتستخدم هذه البرامج عادة لاختراق أجهزة الكمبيوتر والأجهزة الذكية الأخرى، وتعمل على تسجيل كل ما يكتبه المستخدم من معلومات حساسة، مثل الأسماء والعناوين وأرقام الحسابات وكلمات المرور وأرقام البطاقات الائتمانية، وإرسالها إلى الـ Attackers عبر الإنترنت.

9. الـ Keylogger هو نوع من البرامج الضارة التي تستخدم لتسجيل كل ما يكتبه المستخدم على لوحة المفاتيح ، ويتم تسجيلها ثم يتم إرسالها إلى الـ Attackers لتتبع الأنشطة المستخدمة وسرقة المعلومات الحساسة، مثل كلمات المرور وأرقام الحسابات والبطاقات الائتمانية وغيرها من المعلومات الشخصية.

في البداية حتى تكون قادرًا على تحليل البرامج الضارة بشكل صحيح ، من الضروري فهم أساسيات نظام التشغيل وبنيته.

عند تحليل البرامج الضارة يكون فيه طريقتين مختلفيين في التحليل وهما:

1. Static Analysis

2. Dynamic Analysis

يعتبر هذا النوع أو النهج بأن يُحلل البرامج الضارة بعمل reverse engineering بدون تشغيلها ، من خلال فك أو مايُسمى بالـ Decompile أو تفكيك البرنامج الضار أو مايُسمى بالـ Disassemble، يتم تحليل كل خطوة يقوم بتنفيذها البرنامج الضار ، وبالتالي يمكن تحليل سلوك البرنامج الضار.