악성코드 분석 도구는 크게 정적 도구와 동적 도구로 나눌 수 있다
정적 분석
: 안에 있는 문자열, 명령어, 구조의 형태를 보기 위한 분석
-> 악성코드를 실행시키지 않는다고 해서 안심하지 않고 가상 환경에서 실행한다
동적 분석
: 직접 악성코드를 실행하면서 실행시키기 전과 후의 차이를 비교하는 분석
정적 분석 도구
Exeinfo(이엑스이인포)
: 패킹 유/무를 확인할 수 있는 도구
정적 분석을 진행하기전에 파일의 암호화 여부를 확인해야한다
-> 악성코드 안에 있는 문자열, 명령어들을 기본적으로 읽지 못하게 암호화시키는 경우가 많다(= 패킹)
-> 정적분석 진행할때 제일 먼저 사용하는 도구
-> 패킹이 되어 있다면 언패킹을 통해 안에 있는 내용들을 평문으로 볼 수 있도록 하는 과정이 제일 먼저 진행되어야 한다
패킹되어 있다고 하면 어떠한 기법으로 패킹이 되어 있으니 특정 사이트에서 언패킹 도구를 다운받을 수 있도록
언패킹 솔루션까지 제공해준다
Bintext
: 파일이 어떤 문자열(IP주소, 도메인 주소, 명령어 사용 이력, 실행파일, 함수)을 포함하고 있는지 분석할 수 있는 도구
PEView
: 정적 분석 도구의 집합체
-> 내가 분석하고자 하는 파일의 원래 확장자가 무엇인지, 언제 파일이 생성되었는지, 패킹이 되어 있는지, 등
-> 정적 분석을 마무리하는 과정에서 사용(크로스 체크)
동적 분석 도구
동적 분석은 크게 3가지 유형으로 나눌 수 있다
- process
- 파일이나 레지스트리 변화
- 네트워크 영역
-> 동적 분석에서 최소 3개 이상의 도구를 사용
동적 분석은 직접 눈으로 보면서 분석을 하기 때문에 하나의 툴을 사용하더라도 최소 2-3번 반복하는
검증하는 과정이 필요
Process Explorer, Process Monitor
: 실제로 악성코드를 실행시켰을때 어떠한 Process들이 동작하는지 확인할 수 있다
Autoruns
: 레지스트리쪽에서 악성코드를 실행시키기 전과 후에 어떠한 변화가 있는지 확인할 수 있다
Wireshark
: 네트워크 패킷 분석을 통해 악성코드에 의해서 어떤 네트워크가 동작하는지 확인할 수 있다
Smsniff
: wireshark의 간소화된 버전
-> Wireshark를 원활하게 이용하기 위해서는 네트워크 기반 지식 필요
'정보보안' 카테고리의 다른 글
| 악성코드 샘플 분석2 (0) | 2023.12.03 |
|---|---|
| 악성코드 샘플 분석 (0) | 2023.11.26 |
| 샘플 분석 환경 구성과 Search (0) | 2023.11.06 |
| 악성코드 정적분석 동적분석 (0) | 2023.10.28 |
| Virustotal (0) | 2023.10.21 |
