ranchive

악성코드 분석 방법악성코드 분석 실행 흐름은 4가지로 구분됨고정된 방법은 아니지만 기초적인 분석의 흐름 알기엔 가장 적합한 방법이라고 함 ● 악성코드 분석의 네 가지 접근 방법완전 자동화 분석정적, 동적 분석 통해 악의적 행위를 판단자동으로 분석을 수행전문가 분석 만큼 섬세하거나 정확하지 않을 수 있지만 빠르고 쉬운 방법정적 속성 분석악성코드 추가 분석을 위해 필요한 단계신속한 정보 획득이 가능정보 활용해 실행 파일 간 비교 데이터베이스를 구성바이러스 토탈 서비스대화형 동적 분석분리된 가상 머신 환경에서 실행하며 분석메모리 분석 통해 다른 행위 추가적 분석 가능악의적 행위 상세 과정 확인 가능분석가들의 분석 시간이 많이 소요수동 코드 역공학 분석특정 루틴에 난독화가 되어있어 복호화 이뤄지는 부분을 더 분..

PE파일개요● PE(Portable Executable File Format)파일(File)이 이식 가능한 다른 곳에 옮겨져도(Portable) 실행 가능하도록(Executable) 만든 포맷(Format): 다양한 windows 등 이식 가능한 다른 곳에 옮겨져도 실행할 수 있게 만든 포맷을 뜻함 ● PE 파일 분석에 사용되는 도구(추천) exeinfo, pestudio PE 파일구조 이해● IMAGE_DOS_HEADER: DOS에서도 실행 가능하도록 호환성 제공하는 헤더MZ라는 시그니처를 가짐 → MS-DOS 헤더의 시작을 알림e_lfanew: pe heade의 위치를 알려줌(중요) ● IMAGE_NT_HEADER- signagure: PE, 4 바이트 바이러스에 자신의 시그니처 심기도 함바이러스나..