惡意程式分析中的靜態分析說難不難，說簡單不簡單，最簡單的方式就是滑鼠右鍵，按下內容開始。

我們可以看到檔案描述、大小、發佈單位、時間…較為簡易的檔案屬性，
如果是偽裝的檔案，可能會多了一個空白或與原發佈單位不同之類的來偽裝正常的檔案。

再更進階一點的話，可以用靜態分析工具觀察檔案的基礎及屬性。

(1) PeStudio
這個可以觀察到很詳細的靜態分析內容。
從以下的圖片，可以觀察到VirusTotal判斷它是否為危險檔案、檔案相關的資訊、當初建立的環境及路徑、網址、檔案大小、使用的函數、檔案內中的字串…等等，都可以做為靜態分析的內容。

(2) PEiD
如果有加密壓縮的話，可以這個來拆開 =v=+

(3) 010 Editor
用這個來觀察 PE 的結構

有發現到我們都用PE當作開頭嗎？
沒錯！因為 PE 是檔案構成的結構之一。

所以PE是什麼呢？我覺得很難說明，讓我舉個例子：像說，我們Compiler的檔案之後，我們可以用PE方式去修改內容及識別，很多市面上正版軟體的註冊方式，有的可以透過直接修改PE檔就能完成註冊。

//圖片來源

PE 檔要講可以講個 30 分鐘，我可以請大家看我這份投影片嗎 =v=+
PE 投影片，是我之前簡單報告的，應該也算顯淺易懂，有問題再問我哦：)

再來，還有 IDAPRO & OllyDbg ，逆向工程可以慢慢研究。
IDAPRO 大概長這個樣子，會需要一點組合語言的基礎及耐心。

之後，我們更進階的有 Cuckoo Sandbox + vara rules 可以慢慢研究 ：)