一旦取证调查人员在磁盘分析中发现了可疑二进制文件的蛛丝马迹，下一步他们要做的就是分析可执行文件，通常采用两种方式：

• 静态可执行文件分析（考虑构成）
• 运行时可执行文件分析（考虑行为）

    静态分析着眼于可执行文件的构成和周围环境，实际并不启动它，此时可疑文件都是些无活力的字节序列。

    运行时分析旨在通过监视可执行文件在受控环境中执行情况对可执行程序进行行为分析。

    下面分别介绍这两种取证分析方法，并提出rootkit应对策略。

rootkit取证之可执行文件分析