El análisis dinámico de malware trata de revisar el comportamiento de éste en tempo de ejecución. Para este cometido se utilizan ambientes de prueba aislados y monitorizados con herramientas especializadas.
Objetivos
Los objetivos de este análisis son examinar las diferencias en el sistema entre dos puntos específicos, antes y después de la ejecución del malware, y observar el comportamiento en tiempo de ejecución.
El análisis de puntos específicos consiste en realizar comparaciones en el estado del sistema, verificación de archivos y bibliotecas y registros modificados o creados. El análisis en tiempo de ejecución consiste en analizar las actividades del malware, por ejemplo, creación de registros, creación de proceso, conexiones de red, entre otras, utilizando herramientas especializadas.
Otras tareas para llevar a cabo son el análisis de código y el análisis de memoria.
Herramientas
Process Monitor para la monitorización de archivos y registros.
Process Explorer para la monitorizacón de procesos
Wire Shark para el captura y análisis de conexiones de red.
win32dd para adquisisción de imagenes de memoria
volatility para la adquisición y análisis de memoria