악성코드 분석 시작하기 | 몬나파 K A - 교보문고
악성코드 분석 시작하기 | 사이버 공격 위협이 증가함에 따라 악성코드 분석은 필수적인 기술이 됐다. 윈도우 악성코드를 이해할 수 있는 개념, 도구, 기술을 바탕으로 실제 악성코드 샘플, 메모
product.kyobobook.co.kr
*해당포스트는 몬나파 K.A.의 악성코드 분석 시작하기 서적을 바탕으로 작성하였습니다.
01. 악성코드란 무엇인가?
- 악의적인 행위를 하는 코드
- 실행 파일, 스크립트, 코드, 또는 다른 유형의 소프트웨어 형태
- 공격자는 악성코드를 사용해 민감 정보를 훔치거나 감염된 시스템을 감시하거나 시스템 제어 권한 가져갈 수 있음
- 바이러스(Virus) 또는 웜(Worm): 자가 복제하고 다른 컴퓨터로 확산하는 기능을 가진 악성코드. 바이러스는 유저와 상호작용 필요하지만 웜은 필수적이지 않음.
- 트로이 목마(Trojan): 일반 프로그램으로 위장해 유저가 자신의 컴퓨터에 설치하도록 유도하는 악성코드로 백도어/원격 접속 트로이 목마(RAT) 등이 이에 해당함
- 애드웨어(Adware): 유저에게 원치 않는 광고를 노출하는 악성코드
- 봇넷(Botnet): 동일한 악성코드에 감염된 컴퓨터 그룹을 통제
- 정보 스틸러(Information Stealer): 감염된 시스템에서 민감 정보를 훔치고자 디자인된 악성코드. 키로거, 스파이웨어, 스니퍼, 그래버 등이 해당함
- 랜섬웨어(Ransomeware): 유저를 컴퓨터 밖으로 쫓아내거나 파일 암호화한 후 대가를 요구하는 악성코드
- 루트킷(Rootkit): 설치된 시스템에서 공격자에게 관리자 권한을 제공하거나 존재 여부를 숨기는 악성코드
- 다운로더(Downloader) 또는 드로퍼(Dropper): 추가 악성코드 컴포넌트를 다운로드하도록 설계된 악성코드
- 악성코드는 공격자의 동기에 따라 분류할 수 있음
02. 악성코드 분석이란 무엇인가?
- 악성코드의 행위를 연구하는 것
03. 악성코드 분석의 목적
- 악성코드 샘플에서 정보를 추출해 악성코드 사고 대응에 도움을 주는 것
04. 악성코드 분석의 종류
- 정적 분석
- 동적 분석
- 코드 분석: 바이너리의 내부 동작을 이해하기 위한 악성코드 분석에 초점을 둔 고급 기술
- 메모리 분석(메모리 포렌식): 악성코드의 은닉 또는 회피 능력을 파악하는데 특히 유용함
05. 랩 환경 설정
- 랩 요구사항
- 리눅스, 윈도우, macOS X 기반의 물리 시스템, VMware 또는 VirtualBox와 같은 가상화 소프트웨어 등
- 랩 아키텍처 개요
- 해당 서적에서는 우분투 리눅스 가상머신과 윈도우 가상머신이 설치된 우분투 리눅스 물리 머신을 사용
- 리눅스 VM 설치와 설정
- 우분투 16.04.2 및 LTS 리눅스 배포판 사용
- pip(파이썬 관리 시스템)
- INetSim: 악성코드가 빈번하게 상호작용하는 다양한 인터넷 서비스를 시뮬레이션하는 도구
- 가상 장비를 호스트 전용 네트워크 모드로 설정해 우분투 VM을 격리
- 윈도우 VM 설치와 설정
- 호스트 전용 네트워크 모드여야하고 리눅스 VM과 서로 간에 통신이 되어야 함
06. 악성코드 출처
'swuforce_malware > 악성코드 분석 시작하기' 카테고리의 다른 글
| 제2장. 정적분석 (0) | 2026.04.28 |
|---|---|
| 제3장_동적 분석 (0) | 2026.03.31 |