L'anti-analisi si riferisce a tecniche di evasione che rendono il codice dannoso più difficile da ispezionare con sandbox, scanner, ricercatori o sistemi di rilevamento automatizzato. Questi controlli possono cercare macchine virtuali, debugger, browser headless, user agent insoliti, assenza di attività di input o caratteristiche di fingerprint che non corrispondono a un utente reale. Se l'ambiente sembra sospetto, lo strumento può ritardare, uscire, nascondere contenuti o mostrare una pagina innocua.
Nella sicurezza informatica, l'anti-analisi è importante perché riduce la visibilità durante il triage e rallenta la creazione di firme. Gli aggressori la usano in loader di malware, kit di phishing, catene di exploit e pagine per il furto di credenziali per separare le vittime reali dai sistemi di ispezione. I difensori rispondono con analisi a più livelli, configurazioni di sandbox realistiche, emulazione del browser, correlazione della telemetria e rilevamenti basati sul comportamento che non si affidano solo ai contenuti statici. Individuare la logica di anti-analisi può anche rivelare che un campione è progettato per un'evasione attiva, il che è spesso un forte segnale di intento malevolo.