악성코드 정적분석 동적분석

악성코드 분석에는 크게 3가지로 나눌 수 있다 기초분석, 정적분석, 동적분석

기초분석도 악성코드를 실행시켜서 하는 형태가 아니기 때문에 정적분석 범위안에 들어갈 수 있다

 

정적분석

- 악성코드를 실행하지 않고 악성코드의 코드와 리소스를 분석하는 방법

 

정적분석 특징

- 파일의 해시 값, 문자열 패턴, 메타데이트 등을 확인할 수 있다

- 비교적 안전한 분석 방법이지만 악성코드를 실행하는 코드를 다루기 때문에 가상 환경에서 진행을 해야한다

 

동적분석

- 악성코드 실행 전후 상태를 분석 및 조사하여 프로그램의 기능을 파악하는 방법

 

동적분석 특징

- 프로그램을 분석하는데 가장 직관적인 방법

- 악성코드를 직접적으로 실행시키기 때문에 가상 환경에서 진해을 해야한다

- 확실한 분석을 위해  2회 이상 분석해준다

 

---

분석 과정에 따른 정적분석 도구

 

- Virustotal(기초 분석)

: 백신에 따른 악성코드 확인과 해시값 조회를 통한 과거 검사 이력 확인

 

- Exeinfo(패킹 여부 확인)

: PE파일 생성에 사용했던 패커나 컴파일러를 확인할 수 있다

(*PE : 악성코드의 실행 파일이나 악성 라이브러리 등을 포함하는 형식)

 

- Bin Text(문자열 확인)

: 악성코드 파일로부터 문자열 정보를 추출

-> 파일 내의 문자열을 분석하여 IP주소, 도메인 주소, 명령어를 사용하는 경로 검사 등을 알 수 있다

 

분석 과정에 따른 동적분석 도구

 

Process Explorer(프로세스)

: 현재 동작중이거나 새로 실행, 종료 되는 process들에 대해서 트리형식을 실시간으로 볼 수 있다

-> 현재 사용되는 시스템의 리소스를 알 수 있고, 프로세스의 상세정보를 확인할 수 있다

 

Autoruns(파일 및 레지스토리)

: 시스템에서 실행되고 있는 프로그램 및 서비스를 볼 수 있고 관리할 수 있게 해준다

-> 악성코드가 시스템에 설치되었거나 실행되었는지 확인할 수 있다

 

WireShark(네트워크)

: 네트워크 패킷 캡쳐 및 분석 도구

-> 악성코드가 네트워크 트래픽을 생성하는 경우, 이를 캡쳐하여 분석한다

-> 모든 패킷에 대한 정보를 실시간으로 기록하며 패킷 내의 프로토콜 정보를 세부적을 파악이 가능하다