참고: https://zeltser.com/mastering-4-stages-of-malware-analysis/


악성파일 분석 정리


- 악성파일 분석에 있어 아래와 같이 분석 기술에 따라 단계별로 구분할 수 있다.

- 피라미드 형식으로 상위로 갈수록 많은 노력이 필요하다.



1. Fully-automated Analysis

악성 파일 여부를 판별하는 가장 쉬운 방법으로 전체 프로세스가 자동화 된 툴 등을 이용하여 분석

- 인간이 수동적으로 처리해야 할 부분을 대신 처리해줌으로, 신속 처리 가능

- 일반적으로 악성 프로그램에 의해 사용 되는 레지스트리, 파일 행위, 네트워크 트래픽 같은 결과값 출력

(Toolkits for Automating Malware Analysis 도구), (Automated Malware Analysis Services 도구)


2. Static properties analysis

의심스러운 파일에 대해, 파일을 실행하지 않고 정적 속성 값에 대해 분석

정적 속성에는 파일에 포함 된 문자열, 헤더정보, 해시값, 포함 된 리소스, 패커, 시그니처, 생성 날짜와 같은 메타 데이터가 포함

- Virustotal은 정적 속성 분석에 우수한 예


3. Interactive Behavior Analysis

- 자동화 도구 사용하 파일의 정적 속성 값 검사 이후 면밀한 검사를 실시 할 때 사용되는 분석

- 행위 분석에는 레지스트리, 파일시스템, 프로세스 및 네트워크 활동을 이해
(파일을 수동적으로 관찰하기 보다는 악의적 행위를 보는 관점)


4. Manual code reversing

- Decoding encrypted data stored or transferred by the sample
- Determining the logic of the malicious program’s domain generation algorithm

- ollydbgida pro와 같이 코드를 역공학하여 분석 하는 것으로 보면 됨


반응형

'기타 > 악성코드 분석' 카테고리의 다른 글

Bro 개념 및 설치  (4) 2017.03.27
Thug 개념 및 설치  (0) 2017.03.27
Cuckoo sanbox 개념 및 설치  (5) 2017.03.27
Open source malware lab 정리  (0) 2017.03.27
악성코드란(목적, 분류, 분석 방법)  (0) 2017.03.13

+ Recent posts