참고: https://zeltser.com/mastering-4-stages-of-malware-analysis/
악성파일 분석 정리
- 악성파일 분석에 있어 아래와 같이 분석 기술에 따라 단계별로 구분할 수 있다.
- 피라미드 형식으로 상위로 갈수록 많은 노력이 필요하다.
1. Fully-automated Analysis
- 악성 파일 여부를 판별하는 가장 쉬운 방법으로 전체 프로세스가 자동화 된 툴 등을 이용하여 분석
- 인간이 수동적으로 처리해야 할 부분을 대신 처리해줌으로, 신속 처리 가능
- 일반적으로 악성 프로그램에 의해 사용 되는 레지스트리 키, 파일 행위, 네트워크 트래픽 같은 결과값 출력
(Toolkits for Automating Malware Analysis 도구), (Automated Malware Analysis Services 도구)
2. Static properties analysis
- 의심스러운 파일에 대해, 파일을 실행하지 않고 정적 속성 값에 대해 분석
- 정적 속성에는 파일에 포함 된 문자열, 헤더정보, 해시값, 포함 된 리소스, 패커, 시그니처, 생성 날짜와 같은 메타 데이터가 포함
- Virustotal은 정적 속성 분석에 우수한 예
3. Interactive Behavior Analysis
- 자동화 도구 사용하고 파일의 정적 속성 값 검사 이후 면밀한 검사를 실시 할 때 사용되는 분석
- 행위 분석에는 레지스트리, 파일시스템, 프로세스 및 네트워크 활동을 이해
(파일을 수동적으로 관찰하기 보다는 악의적 행위를 보는 관점)
4. Manual code reversing
'기타 > 악성코드 분석' 카테고리의 다른 글
Bro 개념 및 설치 (4) | 2017.03.27 |
---|---|
Thug 개념 및 설치 (0) | 2017.03.27 |
Cuckoo sanbox 개념 및 설치 (5) | 2017.03.27 |
Open source malware lab 정리 (0) | 2017.03.27 |
악성코드란(목적, 분류, 분석 방법) (0) | 2017.03.13 |