📚캡스톤 디자인1 <Analysis classification>

이번 페이지는 '악성코드 분석 방법'에 대해서 적도록 하겠다.

악성코드 분석 방법에는 4가지 방법이 있다.
-1) 상세 분석
-2) 동적 분석
-3) 정적 분석
-4) 자동화 분석

이번 캡스톤 디자인1에서는 '정적 분석'을 이용한다.

• 1. 정적 분석
     -> 프로그램의 기능을 파악하기 위해 코드 or 프로그램의 구조 분석 및 악성코드를 실행하지 않고 분석한다.

• 2. 동적 분석
     -> 정적 분석과는 다르게 해당 파일을 실행하여 나타나는 변화를 모니터링하여 어떤 기능을 수행하는지 확인하는 방법
     ( 가상 환경에서 실행 )

---

악성코드 분석은 해시 값, 고유의 시그니처를 사용해 악성코드 식별 가능하다.

아래는 악성코드 분석에 사용되는 사이트 및 정리글이다.

(1) 안티 바이러스 스캐닝
악성코드 탐지: 패턴 매칭 분석에 주로 사용하며 시그니처를 검색하여 찾는다.
https://www.virustotal.com/gui/

(2) 해시 정보 검증
코드의 고유 값, 악성코드를 보고 악성의 여부를 판단
파일의 사이즈, 해시 값을 알려준다.
해시 값 검증을 통해 변조 여부를 확인
Md5deep CUI, http://md5deep.sourceforge.net/
WinMD5 GUI, http://www.winmd5.com/

(3) 문자열 검색
실행파일을 역으로 돌려서 문자열 추출
코드 내의 문자열을 검색 및 추출
실행파일이 생성한 파일의 이름을 지정할 때 사용하는 문자열 or 외부 주소로 연결 시 사용하는 IP주소 검출
https://technet.microsoft.com/enus/sysinternals/bb897439

(4) 패킹/난독화
악성코드 은폐 목적이며 문자열 검색이 X
정상적인 프로그램에서 사용되지 않는 함수 포함
패킹 시 사이즈가 작아진다.

->패킹 : 판독할 수 없는 파일

다시 복구해주는 래퍼 프로그램이 존재한다.

tool ->
PEiD 패킹, 언패킹 여부 확인하는 탐지 도구
UPX 패킹 프로그램

----------References

• 악성코드분석 기초 https://t-okk.tistory.com/43