Il reverse engineering del malware è un processo che i professionisti della sicurezza possono utilizzare per saperne di più su come funziona un malware in modo da poterlo combattere. Usano un sistema informatico accuratamente controllato per vedere cosa fa il malware quando è attivo, utilizzando queste informazioni per mettere insieme il metodo di costruzione e il meccanismo di azione. Queste informazioni sono utili per rimuovere il malware dai computer infetti, aggiornare il software antivirus, ripristinare file danneggiati o preparare materiale per testimonianze forensi.
Le aziende di antivirus sono interessate al reverse engineering del malware perché desiderano mantenere aggiornato il loro software e hanno bisogno di saperne di più sulle tendenze emergenti nella progettazione di virus e malware. I loro ingegneri lavorano in laboratori allestiti a questo scopo. L’ingegnere può infettare un computer, osservare l’azione del software, modificare i parametri e decostruire il design del software. Oltre a studiare il codice grezzo, l’ingegnere potrebbe anche essere interessato a vedere cosa fa il software in vari ambienti e come cambia nel tempo.
Al termine, può cancellare il computer per ripristinare lo stato originale e utilizzerà le informazioni della sessione di reverse engineering per progettare un aggiornamento del software antivirus e generare informazioni che gli ingegneri utilizzeranno nei progetti software futuri. L’ingegnere può anche informare il produttore di un sistema operativo se una falla di sicurezza sembra essere vulnerabile da sfruttare in futuro. Il malware di reverse engineering fa anche parte dello sviluppo di software e prodotti per le società di software, compresi i produttori di sistemi operativi.
Gli ingegneri informatici possono anche essere interessati al malware di reverse engineering come parte del processo di pulizia di un computer o di una rete infetti. Queste informazioni sono necessarie per assicurarsi che il software dannoso sia completamente sradicato dopo la pulizia e possono anche essere utili per affrontare i problemi di sicurezza. Se il software ha sfruttato un punto vulnerabile nel firewall di una rete, ad esempio, il reverse engineering lo mostrerà e fornirà informazioni su come correggere la vulnerabilità.
Le forze dell’ordine possono anche praticare il reverse engineering per saperne di più sul malware. Queste informazioni possono essere utili per gestire i computer infetti sotto la loro custodia, condurre indagini forensi e sviluppare prove per perseguire un creatore di malware. Nella testimonianza forense, uno scienziato informatico dovrà essere in grado di parlare del malware di reverse engineering per determinarne la struttura e la funzione in un linguaggio che un giudice e una giuria possano comprendere chiaramente. Ciò richiede una profonda conoscenza dell’informatica e delle comunicazioni e un testimone convincente può essere uno strumento prezioso nel corso di un processo relativo al malware.