SlideShare une entreprise Scribd logo

2. 악성코드 분석 방법론과 기법

Youngjun Chang
Youngjun Chang

2008년 서울여대 강의 자료

Technologie
1  sur  17
Télécharger pour lire hors ligne
악성코드 분석 방법론과 기법 2008.10.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준 주임 연구원
2 1. 악성코드 분석을 위한 사전 지식 1. 악성코드 분석 방법론 윈도우 운영체제 이해 윈도우 네트워크 이해 윈도우 프로그램 이해 다양한 프로그램 언어 및 컴파일러 특성 이해 다양한 파일 구조 이해 파일 보호 기법 (Packer, Protector, Anti-Debugging, Encryption) 특성 이해 다양한 파일 포맷 분석에 필요한 유틸리티 활용법 2. 악성코드 분석 방법론 동적 분석 (Dynamic Analysis) – 파일 실행을 통한 증상 기반 분석, 시간소요 적음, 자세한 분석 어려움 정적 분석 (Static Analysis) – 리버스 엔지니어링 (Reverse Engineering) 을 통한 코드 기반 분석, 시간소요 많음, 자세한 분석 가능
3 3. 악성코드 분석 프로세스 동적 분석 (Dynamic Analysis)  정적 분석 (Static Analysis) 파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작 1. 파일 형태 분석 2. 사용 API 분석 3. 문자열 분석 1. 시스템 분석 2. 프로세스 분석 3. 레지스트리 분석 4. 네트워크 분석 5. 기타 증상 분석 1. 증상 추가 분석 2. 각종 정보 수집 3. 관련 사항 확인 1. 디스어셈블링 2. 디버깅 1. 악성코드 판단 2. 진단 시그니쳐 및 함수 제작 3. 분석정보 작성 분 석 프 로 세 스 1. 악성코드 분석 방법론
4 4. 악성코드 분석 환경 일반 하드웨어 이용 일반 하드웨어를 이용한 윈도우 시스템으로 구성 외부 네트워크와 단절된 독립 네트워크를 구성 가상 시스템 (Virtual System) 이용 MS의 Virtual PC 2007 또는 Vmware의 Vmware Workstation 을 이용한 가상 윈도우 시스템과 가상 네트워크를 구성 [Virtual PC 2007] [Vmware Workstation ] 1. 악성코드 분석 방법론
5 2. 악성코드 분석 도구 1. 파일 분석 실행 파일의 구조와 헥사 코드(Hex Code) 분석 윈도우 – Frhed, WinHex 도스 – HE (Hexa Editor), HT(Hexa ediT), HIEW(Hackers vIEW) [FrHed] [PEView]
6 2. 실행 파일 구조 분석 실행 파일의 구조 분석, 문자열 분석, 실행 파일 재생성 윈도우 – LoadPE, PE Tools, PEiD, PEView, Dependency Walker, Import ReConstructor PE Explorer, Stud_PE, PE Validator, ProcDump, BinText, WinDiff 도스 – PeDump, Handle [PE Tools] [PEiD] 2. 악성코드 분석 도구
2. 악성코드 분석 도구 3. 스크립트 파일 분석 인코딩된 스크립트 파일 분석 윈도우 – Malzilla (malzilla.sourceforge.net) [Malzilla]
8 4. 시스템 분석 Install Control for Windows – 시스템의 파일 변화, 레지스트리 변화 추적 InstallWatch – 시스템의 파일 변화, 레지스트리 변화 추적 Winalysis – 시스템의 파일 변화, 레지스트리 변화 및 기타 시스템 변화 추적 [Install Control for Windows] [Winalysis] 2. 악성코드 분석 도구
9 5. 프로세스 분석 Process Explorer – 시스템에 생성되는 프로세스 변화 분석 TaskInfo – 프로세스 변화 및 시스템 상태 분석 [Process Explorer] [TaskInfo] 2. 악성코드 분석 도구
10 6. 레지스트리 분석 Registar Lite – 레지스트리 분석 및 편집 Reg.exe – 도스 모드 레지스트리 편집 [Reg.exe][Registar Lite] 2. 악성코드 분석 도구
11 7. 네트워크 패킷 분석 Ethereal – 네트워크 패킷 분석 Analyzer – 네트워크 패킷 분석 [Ethereal] [Analyzer] 2. 악성코드 분석 도구
12 8. 네트워크 포트 분석 TCPView – 실시간 네트워크 포트 분석 Active Ports – 실시간 네트워크 포트 분석 Fport – 도스 모드 네트워크 포트 분석 [TCPView] [Active ports] 2. 악성코드 분석 도구
13 9. 시스템 모니터링 Process Monitor – 특정 프로세스의 파일, 레지스트리, 네트워크 엑세스 API Monitor – 특정 프로세스의 API 사용 [Process Monitor 실행] 2. 악성코드 분석 도구
2. 악성코드 분석 도구 10. 은폐 파일 분석 GMER – 프로세스, 파일, 레지스트리 및 네트워크 은폐 탐지와 분석 F-Secure BlackLight – 프로세스, 파일, 레지스트리 및 네트워크 은폐 탐지와 분석 [GMER 실행] [F-Secure BlackLight 실행]
15 11. 실행 파일 디스어셈블링 W32Dasm – 실행 파일 디스어셈블링과 디버깅 IDA – 실행 파일 디스어셈블링 [W32Dasm 실행] [IDA 실행] 2. 악성코드 분석 도구
16 13. 실행 파일 디버깅 WinDBG – 실행 파일 디버거 SoftIce – 강력한 커널 모드 디버깅 OllyDbg – 범용 실행 파일 디버거 [OllyDbg 실행] [SoftICE 실행] 2. 악성코드 분석 도구
Q&A 감사합니다

Recommandé

3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
Youngjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 

Recommandé

3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
Youngjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
Youngjun Chang
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
Youngjun Chang
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
Youngjun Chang
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
Youngjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
Youngjun Chang
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
Youngjun Chang
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
Youngjun Chang
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
Youngjun Chang
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
GangSeok Lee
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
Youngjun Chang
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
Youngjun Chang
 

Contenu connexe

Tendances

악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 

Tendances (20)

1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
 
악성코드 개론
악성코드 개론 악성코드 개론
악성코드 개론
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
 

En vedette

En vedette (8)

악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향
 

Similaire à 2. 악성코드 분석 방법론과 기법

지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
한익 주
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
INSIGHT FORENSIC
 

Similaire à 2. 악성코드 분석 방법론과 기법 (19)

보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
 
기술6기 3조
기술6기 3조기술6기 3조
기술6기 3조
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
 
(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
Linux 강의자료 ed10
Linux 강의자료 ed10Linux 강의자료 ed10
Linux 강의자료 ed10
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
2016 secon doc(@kess)-파일유통보안
2016 secon doc(@kess)-파일유통보안2016 secon doc(@kess)-파일유통보안
2016 secon doc(@kess)-파일유통보안
 

Plus de Youngjun Chang

Plus de Youngjun Chang (11)

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향
 

2. 악성코드 분석 방법론과 기법

  • 1. 악성코드 분석 방법론과 기법 2008.10.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준 주임 연구원
  • 2. 2 1. 악성코드 분석을 위한 사전 지식 1. 악성코드 분석 방법론 윈도우 운영체제 이해 윈도우 네트워크 이해 윈도우 프로그램 이해 다양한 프로그램 언어 및 컴파일러 특성 이해 다양한 파일 구조 이해 파일 보호 기법 (Packer, Protector, Anti-Debugging, Encryption) 특성 이해 다양한 파일 포맷 분석에 필요한 유틸리티 활용법 2. 악성코드 분석 방법론 동적 분석 (Dynamic Analysis) – 파일 실행을 통한 증상 기반 분석, 시간소요 적음, 자세한 분석 어려움 정적 분석 (Static Analysis) – 리버스 엔지니어링 (Reverse Engineering) 을 통한 코드 기반 분석, 시간소요 많음, 자세한 분석 가능
  • 3. 3 3. 악성코드 분석 프로세스 동적 분석 (Dynamic Analysis)  정적 분석 (Static Analysis) 파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작 1. 파일 형태 분석 2. 사용 API 분석 3. 문자열 분석 1. 시스템 분석 2. 프로세스 분석 3. 레지스트리 분석 4. 네트워크 분석 5. 기타 증상 분석 1. 증상 추가 분석 2. 각종 정보 수집 3. 관련 사항 확인 1. 디스어셈블링 2. 디버깅 1. 악성코드 판단 2. 진단 시그니쳐 및 함수 제작 3. 분석정보 작성 분 석 프 로 세 스 1. 악성코드 분석 방법론
  • 4. 4 4. 악성코드 분석 환경 일반 하드웨어 이용 일반 하드웨어를 이용한 윈도우 시스템으로 구성 외부 네트워크와 단절된 독립 네트워크를 구성 가상 시스템 (Virtual System) 이용 MS의 Virtual PC 2007 또는 Vmware의 Vmware Workstation 을 이용한 가상 윈도우 시스템과 가상 네트워크를 구성 [Virtual PC 2007] [Vmware Workstation ] 1. 악성코드 분석 방법론
  • 5. 5 2. 악성코드 분석 도구 1. 파일 분석 실행 파일의 구조와 헥사 코드(Hex Code) 분석 윈도우 – Frhed, WinHex 도스 – HE (Hexa Editor), HT(Hexa ediT), HIEW(Hackers vIEW) [FrHed] [PEView]
  • 6. 6 2. 실행 파일 구조 분석 실행 파일의 구조 분석, 문자열 분석, 실행 파일 재생성 윈도우 – LoadPE, PE Tools, PEiD, PEView, Dependency Walker, Import ReConstructor PE Explorer, Stud_PE, PE Validator, ProcDump, BinText, WinDiff 도스 – PeDump, Handle [PE Tools] [PEiD] 2. 악성코드 분석 도구
  • 7. 2. 악성코드 분석 도구 3. 스크립트 파일 분석 인코딩된 스크립트 파일 분석 윈도우 – Malzilla (malzilla.sourceforge.net) [Malzilla]
  • 8. 8 4. 시스템 분석 Install Control for Windows – 시스템의 파일 변화, 레지스트리 변화 추적 InstallWatch – 시스템의 파일 변화, 레지스트리 변화 추적 Winalysis – 시스템의 파일 변화, 레지스트리 변화 및 기타 시스템 변화 추적 [Install Control for Windows] [Winalysis] 2. 악성코드 분석 도구
  • 9. 9 5. 프로세스 분석 Process Explorer – 시스템에 생성되는 프로세스 변화 분석 TaskInfo – 프로세스 변화 및 시스템 상태 분석 [Process Explorer] [TaskInfo] 2. 악성코드 분석 도구
  • 10. 10 6. 레지스트리 분석 Registar Lite – 레지스트리 분석 및 편집 Reg.exe – 도스 모드 레지스트리 편집 [Reg.exe][Registar Lite] 2. 악성코드 분석 도구
  • 11. 11 7. 네트워크 패킷 분석 Ethereal – 네트워크 패킷 분석 Analyzer – 네트워크 패킷 분석 [Ethereal] [Analyzer] 2. 악성코드 분석 도구
  • 12. 12 8. 네트워크 포트 분석 TCPView – 실시간 네트워크 포트 분석 Active Ports – 실시간 네트워크 포트 분석 Fport – 도스 모드 네트워크 포트 분석 [TCPView] [Active ports] 2. 악성코드 분석 도구
  • 13. 13 9. 시스템 모니터링 Process Monitor – 특정 프로세스의 파일, 레지스트리, 네트워크 엑세스 API Monitor – 특정 프로세스의 API 사용 [Process Monitor 실행] 2. 악성코드 분석 도구
  • 14. 2. 악성코드 분석 도구 10. 은폐 파일 분석 GMER – 프로세스, 파일, 레지스트리 및 네트워크 은폐 탐지와 분석 F-Secure BlackLight – 프로세스, 파일, 레지스트리 및 네트워크 은폐 탐지와 분석 [GMER 실행] [F-Secure BlackLight 실행]
  • 15. 15 11. 실행 파일 디스어셈블링 W32Dasm – 실행 파일 디스어셈블링과 디버깅 IDA – 실행 파일 디스어셈블링 [W32Dasm 실행] [IDA 실행] 2. 악성코드 분석 도구
  • 16. 16 13. 실행 파일 디버깅 WinDBG – 실행 파일 디버거 SoftIce – 강력한 커널 모드 디버깅 OllyDbg – 범용 실행 파일 디버거 [OllyDbg 실행] [SoftICE 실행] 2. 악성코드 분석 도구