Reverse Engineering Malware ist ein Prozess, mit dem Sicherheitsexperten mehr über die Funktionsweise einer Malware erfahren und diese bekämpfen können. Sie verwenden ein sorgfältig kontrolliertes Computersystem, um zu sehen, was die Malware macht, wenn sie aktiv ist, und verwenden diese Informationen, um die Konstruktionsmethode und den Wirkungsmechanismus zusammenzustellen. Diese Informationen sind nützlich, um die Malware von infizierten Computern zu entfernen, Antivirensoftware zu aktualisieren, beschädigte Dateien wiederherzustellen oder Material für forensische Zeugenaussagen vorzubereiten.
Antivirus-Unternehmen haben ein Interesse an Reverse-Engineering-Malware, weil sie ihre Software auf dem neuesten Stand halten wollen und mehr über aufkommende Trends im Viren- und Malware-Design erfahren möchten. Ihre Ingenieure arbeiten in dafür eingerichteten Labors. Der Ingenieur kann einen Computer infizieren, der Software zusehen, Parameter ändern und das Design der Software dekonstruieren. Neben dem Studium des Rohcodes kann der Ingenieur auch daran interessiert sein, zu sehen, was die Software in verschiedenen Umgebungen macht und wie sie sich im Laufe der Zeit verändert.
Wenn sie fertig ist, kann sie den Computer löschen, um den ursprünglichen Zustand wiederherzustellen, und wird die Informationen aus der Reverse-Engineering-Sitzung verwenden, um ein Update für die Antivirensoftware zu entwerfen und Informationen zu generieren, die Ingenieure in zukünftigen Softwaredesigns verwenden werden. Der Ingenieur kann auch den Hersteller eines Betriebssystems benachrichtigen, wenn eine Sicherheitslücke für die Zukunft anfällig erscheint. Reverse-Engineering-Malware ist auch Teil der Software- und Produktentwicklung für Softwareunternehmen, einschließlich Hersteller von Betriebssystemen.
Computeringenieure haben möglicherweise auch ein Interesse an Reverse-Engineering-Malware als Teil der Reinigung eines infizierten Computers oder Netzwerks. Diese Informationen sind notwendig, um sicherzustellen, dass die Schadsoftware nach der Bereinigung vollständig entfernt wird, und können auch bei der Behebung von Sicherheitsproblemen hilfreich sein. Hat die Software beispielsweise eine Schwachstelle in der Firewall eines Netzwerks ausgenutzt, zeigt Reverse Engineering dies an und liefert Informationen zur Behebung der Schwachstelle.
Strafverfolgungsbehörden können auch Reverse Engineering praktizieren, um mehr über Malware zu erfahren. Diese Informationen können für den Umgang mit infizierten Computern in ihrer Obhut, die Durchführung forensischer Untersuchungen und die Entwicklung von Beweisen zur strafrechtlichen Verfolgung eines Malware-Erstellers nützlich sein. In forensischen Aussagen muss ein Informatiker in der Lage sein, über Reverse Engineering Malware zu sprechen, um ihre Struktur und Funktion in einer Sprache zu bestimmen, die ein Richter und eine Jury klar verstehen können. Dies erfordert fundierte Kenntnisse in Informatik und Kommunikation, und ein überzeugender Zeuge kann ein wertvolles Werkzeug im Rahmen eines Malware-Prozesses sein.