Your SlideShare is downloading. ×
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

2. 악성코드 동적 분석 방법론

1,554

Published on

2010년 2월 조선대CERT 강의

2010년 2월 조선대CERT 강의

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,554
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
41
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 악성코드 동적 분석 방법론 2010.2.18 ㈜ 안철수연구소 ASEC (AhnLab Security Emergency response Center) Anti-Virus Researcher, CISSP 장 영 준 주임 연구원
  • 2. 목 차 1. System Level Reversing 2. System Level Reversing Tools Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 3. 1. System Level Reversing Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 4. 1. System Level Reversing 1) System Level Reversing 1) 각 종 툴과 운영 체제의 다양한 서비스를 이용해서 프로그램 실행 파일과 입출력 값 등을 조사해 정보를 추출하는 일련의 과정 2) System Level Reversing은 분석 대상이 되는 파일을 실행한다는 의미에서 동적 분 석 또는 Dynamic Analysis 라고도 함 3) System Level Reversing의 주요 관점은 Black-box Testing과 유사 4) Black-box Testing 기술은 악성코드의 악의적인 기능들과 감염 기법들을 빠르게 파악하는데 유효함 5) Code Level Reversing과 비교하여 분석 시간은 빠르나 상세한 기능들을 파악하기 는 어려움 4 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 5. 1. System Level Reversing 2) System Level Reversing의 주요 관점 1) System Level Reversing에서 주요한 시스템 정보 수집 대상 - File Change Monitoring - Registry Change Monitoring - Process와 Thread Monitoring - Network Port Monitoring - Network Sniffing과 Packet Capturing - System Call Monitoring 5 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 6. 2. System Level Reversing Tools Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 7. 2. System Level Reversing Tools 1) System Level Reversing 환경 (1) 1) 실제 컴퓨터 시스템 환경 일반 하드웨어를 이용한 윈도우 시스템 구성 그리고 외부 네트워크와 단절된 독립 네트워크를 구성 - 시스템 복구 솔루션 Symantec Norton Ghost 또는 Acronis True Image 처럼 시스템 전체를 이미지화 후 복구 가능한 솔루션 7 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 8. 2. System Level Reversing Tools 1) System Level Reversing 환경 (2) 1) 가상화 시스템 이용 시스템 가상화 솔루션을 이용하여 가상의 윈도우 시스템과 가상의 네트워크를 구성 - 가상화 솔루션 Windows Virtual PC, VMware와 VirtualBox를 이용하여 하드웨어에 영향 받지 않 는 가상화 운영체제 지원 솔루션 8 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 9. 2. System Level Reversing Tools 2) Malicious Code Reversing Process 동적 분석 (Dynamic Analysis) 파일 분석 증상 분석  정적 분석 (Static Analysis) 정보 분석 코드 분석 엔진 제작 1. 파일 형태 분석 1. 시스템 분석 1. 증상 추가 분석 1. 디스어셈블링 1. 악성코드 판단 2. 사용 API 분석 2. 프로세스 분석 2. 각종 정보 수집 2. 디버깅 2. 진단 시그니쳐 및 함수 제작 3. 문자열 분석 3. 레지스트리 분석 3. 관련 사항 확인 3. 분석정보 작성 4. 네트워크 분석 5. 기타 증상 분석 분석 9 프로세스 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 10. 2. System Level Reversing Tools 3) PE File 분석 – Fileinsight와 PEView - - Hex Editing, 파일 구조, EP 계산, IAT와 EAT 구분 - 10 4개의 창으로 구분 지원, 구조에 따른 블럭화 표시 Disassembly 지원 , 파일 다운로드 기능 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 11. 2. System Level Reversing Tools 4) Script File 분석 - Malzilla - - 11 스크립트 파일 구조 및 Decoding 분석 Shellcode 분석 및 파일 다운로드 지원 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 12. 2. System Level Reversing Tools 5) Office File 분석 – Offvis와 OfficeMalScanner - - Office 파일의 구조 분석 - 12 Office 파일에 포함된 취약점 확인 취약한 Office 파일의 파일 Offset 위치 확인 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 13. 2. System Level Reversing Tools 6) PDF File 분석 – PDFid와 PDFtk - - PDF 파일 구조 중의 취약한 부분 - 취약한 PDF 파일 내부의 Java Script 추출 - 13 PDF 파일의 Zlib 압축 해제 PDF 파일 자동 분석 Wepawet (alpha) Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 14. 2. System Level Reversing Tools 7) Process, Memory 및 Thread 분석 – Process Hacker - - 14 Process, Services와 Network 실시간 모니터링 Memory Dump, String Scan, Thread와 Handle 모니터링 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 15. 2. System Level Reversing Tools 8) File과 Registry 변화 분석 – SysAnalyzer, Install Control for Windows - - 특정 파일에 의해 호출되는 API 모니터링 - Network Traffice 모니터링 - 15 특정 파일에 의해 File과 Registry 변화 모니터링 사용하는 Network Port 모니터링 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 16. 2. System Level Reversing Tools 9) 은폐형 파일 분석 - Gmer - - 16 다양한 은폐 기법으로 은폐된 프로세스, 파일 및 레지스트리 분석 Process, Modules, Services와 Autostart 분석 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 17. 2. System Level Reversing Tools 10) Network Traffic 분석 - Wireshark - - 17 시스템의 Network Traffic 실시간 분석 Protocol과 Packet 분석 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 18. 2. System Level Reversing Tools 11) 기타 유용한 Tools • • Process, Memory 및 Thread 분석 - PE Tools, Process Explorer • File과 Registry 변화 분석 - Process Monitor • 은폐형 파일 분석 – IceSword • Network Traffic 분석 – TCPView, WinSniff • 18 PE 파일 분석 – Frhed, HIEW, WinHex, PEiD, BinText PE 파일 자동 분석 – ThreatExpert Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 19. 2. System Level Reversing Tools 19 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.
  • 20. AhnLab The Joy of Care-Free Your Internet World Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved. AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc., in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners. 20 Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.

×