这个问题可能会以主要基于意见的方式结束，但无论如何我都会给出我的答案。

如果您只是想确定它是否可能是恶意的，通常可以在 5 分钟内完成。

在大多数情况下，您不需要 RE 来识别特定样本是否为“恶意软件”。初始动态分析通常足以回答问题，无论它是否为恶意软件。

如果您需要使用 RE 来澄清它的类别，它主要取决于 2 个因素：

1. 研究人员的技能以及分析方法和技术的知识。
2. 恶意软件作者创建代码的能力，难以检测\逆转\分析。

但是您首先需要定义“恶意活动”，然后在样本中寻找它。

这是一个非常繁重的问题，与取证和逆向工程的关系一样多。如果您担任网络安全分析师并负责确定二进制文件是否为恶意，则可以假设您的首要任务之一是识别基于主机或基于网络的签名。这些将用于帮助您的安全管理员同事检测并消除整个网络中的威胁。但是，除非您使用的是 90 年代初的病毒，否则您不会发现诸如“警告：此程序将破坏您的机器！”之类的明显消息。在程序的字符串中。

反RE/调试/VM 和编码/混淆技术（在现代恶意软件中很常见，可以大大延长您的分析时间），智能恶意软件的行为与合法程序类似，并使用标准的操作系统 API 来完成其工作。为了重申上述用户的评论，您必须为被视为恶意活动的行为设定标准。

尽管如此，后门、按键记录器、下载器等都有独特的行为指标。例如，如果您strings在有问题的二进制文件上运行，并且可以看到一个可路由的 IP 地址，并且该 IP 没有追溯到合法组织，这很好地表明该二进制文件是一个反向 shell，并且该 IP 可以用作基于网络的签名。这是可以在 2 分钟内完成的事情，但这绝不是彻底或足够的。

有关恶意软件分析技术的更多信息，我强烈推荐Sikorski 和 Honig 的实用恶意软件分析。