El malware de ingeniería inversa es un proceso que los profesionales de seguridad pueden usar para obtener más información sobre cómo funciona un malware y poder combatirlo. Utilizan un sistema informático cuidadosamente controlado para ver qué hace el malware cuando está activo, utilizando esta información para reconstruir el método de construcción y el mecanismo de acción. Esta información es útil para eliminar el malware de las computadoras infectadas, actualizar el software antivirus, restaurar archivos dañados o preparar material para el testimonio forense.

Las compañías de antivirus tienen interés en el malware de ingeniería inversa porque desean mantener actualizado su software y necesitan aprender más sobre las tendencias emergentes en el diseño de virus y malware. Sus ingenieros trabajan en laboratorios establecidos para este propósito. El ingeniero puede infectar una computadora, observar cómo actúa el software, cambiar los parámetros y deconstruir el diseño del software. Además de estudiar el código sin formato, el ingeniero también puede estar interesado en ver qué hace el software en varios entornos y en cómo cambia con el tiempo.

Cuando haya terminado, puede borrar la computadora para restaurar el estado original, y usará la información de la sesión de ingeniería inversa para diseñar una actualización del software antivirus y generar información que los ingenieros usarán en futuros diseños de software. El ingeniero también puede notificar al fabricante de un sistema operativo si un agujero de seguridad parece ser vulnerable a explotar en el futuro. El malware de ingeniería inversa también forma parte del desarrollo de software y productos para empresas de software, incluidos los fabricantes de sistemas operativos.

Los ingenieros informáticos también pueden estar interesados ​​en la ingeniería inversa de malware como parte del proceso de limpieza de una computadora o red infectada. Esta información es necesaria para asegurarse de que el software malicioso se erradica por completo después de la limpieza, y también puede ser útil para resolver problemas de seguridad. Si el software aprovechó un punto vulnerable en el firewall de una red, por ejemplo, la ingeniería inversa lo mostrará y proporcionará información sobre cómo solucionar la vulnerabilidad.

Las agencias de aplicación de la ley también pueden practicar ingeniería inversa para obtener más información sobre el malware. Esta información puede ser útil para manejar computadoras infectadas bajo su custodia, realizar investigaciones forenses y desarrollar evidencia para procesar a un creador de malware. En un testimonio forense, un informático deberá poder hablar sobre el malware de ingeniería inversa para determinar su estructura y función en un lenguaje que un juez y un jurado puedan entender claramente. Esto requiere un profundo conocimiento de la informática, así como de las comunicaciones, y un testigo convincente puede ser una herramienta valiosa en el curso de un ensayo relacionado con el malware.