静态恶意代码分析是指在不运行PE文件的情况下分析它们的过程。这项分析最初通过分析PE头部结构进行,其中包含有助于操作系统加载和执行文件(如支持的系统、内存布局、动态库引用、API 导出和导入表、资源管理数据和线程本地存储等)的宝贵信息。基本静态分析可以确认一个文件是否恶意,并提供有关其功能、证书、导入、编译日期等信息。根据此信息,分析师可以创建IOC(间接对象引用),并将其用于进一步调查。与高级静态分析相比,这种分析对复杂样本无效,高级静态分析涉及分析反汇编程序中的恶意代码并检查指令。