악성코드 분석 도구

3,557 views
3,085 views

Published on

2006년 5월 버전

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,557
On SlideShare
0
From Embeds
0
Number of Embeds
215
Actions
Shares
0
Downloads
72
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

악성코드 분석 도구

  1. 1. 1악성코드 분석 도구2006. 5. 17㈜ 안철수연구소ASEC 분석1팀 장영준 연구원
  2. 2. 2목 차 1. 악성코드 분석 절차2. 악성코드 분석 도구3. Reference Books
  3. 3. 31. 악성코드 분석 절차
  4. 4. 41. 악성코드 분석을 위한 사전 지식1. 악성코드 분석 절차 (1/3)윈도우 운영체제에 대한 이해윈도우 네트워크에 대한 이해윈도우 프로그램에 대한 이해프로그램 언어와 컴파일러의 이해실행 파일 구조 (PE File Format) 에 대한 이해실행 파일 보호 기법 (Packer, Protector, Anti-Debugging, Encryption 등) 에 대한 이해실행 파일 분석에 따른 다양한 유틸리티의 활용법2. 악성코드 분석 방법론동적 분석 (Dynamic Analysis) – 파일 실행을 통한 증상 기반 분석시간소요 적음, 자세한 분석 어려움정적 분석 (Static Analysis) – 리버스 엔지니어링 (Reverse Engineering) 을 통한코드 기반 분석, 시간소요 많음, 자세한 분석 가능
  5. 5. 53. 악성코드 분석 프로세스1. 악성코드 분석 절차 (2/3)동적 분석 (Dynamic Analysis)  정적 분석 (Static Analysis)파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작1. 파일 형태 분석2. 사용 API 분석3. 문자열 분석1. 시스템 분석2. 프로세스 분석3. 레지스트리 분석4. 네트워크 분석6. 기타 분석1. 증상 추가 분석2. 각종 정보 수집3. 관련 사항 확인1. 디스어셈블링2. 디버깅1. 악성코드 판단2. 진단 시그니쳐및 함수 제작3. 분석정보 작성분 석 프 로 세 스
  6. 6. 61. 악성코드 분석 절차 (3/3)4. 악성코드 분석을 위한 시스템 환경일반 하드웨어 시스템 (Real Hardware & System)일반 하드웨어를 이용한 윈도우 시스템으로 구성외부 네트워크와 단절된 독립 네트워크를 구성가상 운영체제 시스템 (Virtual System)MS의 Virtual PC 2004, 2005 R2 또는 Vmware의 Vmware Workstation 을 이용한가상 윈도우 시스템과 가상 네트워크를 구성[Virtual PC 2004] [Vmware Workstation ]
  7. 7. 72. 악성코드 분석 도구
  8. 8. 82. 악성코드 분석 도구 (1/13)1. 헥사 코드 분석실행 파일의 구조 분석과 헥사 코드를 수정하기 위한 유틸리티윈도우 용 – Frhed, WinHex도스 용 – HE (Hexa Editor), HT, HIEW (Hacker’s View)[FrHed 실행][Hiew 실행]
  9. 9. 92. 악성코드 분석 도구 (2/13)2. 실행 파일 구조 분석실행 파일의 정보, 구조 분석, 문자열 추출, 메모리 덤프, 실행 파일 재설계를 위한 유틸리티윈도우 용 – LoadPE, PE Tools, PEiD, PEView, Dependency Walker, Import ReConstructorPE Explorer, Stud_PE, PE Validator, ProcDump, BinText, WinDiff도스 용 – PEinfo, PeDump, UltraPE, Handle[PE Tools 실행][PEiD 실행]
  10. 10. 102. 악성코드 분석 도구 (3/13)3. 기타 형태 파일 구조 분석스크립트 디코딩 – Script DecoderMIME 파일 – MIME Viewer, Base64, Base64 for WinCHM 압축 해제 – CHM Decompiler, HTML Help Workshop실행 압축 파일 Unpack – UNPACKTESTExploit 정보 – Exploit Finder (취약점 찾아줘)엑셀, 워드, 파워포인트 파일 – V3DV, V3OLEInfo DFVIEW[Base64 for Win 실행][Exploit Finder 실행]
  11. 11. 112. 악성코드 분석 도구 (4/13)유저 모드와 커널 모드에서 은폐기능을 수행하는 루트킷 탐지Black Light – F-Secure 개발RootKitRevealer – Sysinternals 개발[BlackLight 실행][RootKitRevealer 실행]3. 기타 형태 파일 구조 분석
  12. 12. 122. 악성코드 분석 도구 (5/13)5. 시스템 분석Install Control for Windows – 시스템의 파일 변화, 레지스트리 변화 추적InstallWatch – 시스템의 파일 변화, 레지스트리 변화 추적Winalysis – 시스템의 파일 변화, 레지스트리 변화 및 기타 시스템 변화 추적[Install Control for Windows 실행][Winalysis 실행]
  13. 13. 132. 악성코드 분석 도구 (6/13)6. 프로세스 분석Process Explorer – 시스템에 생성되는 프로세스 변화 분석TaskInfo – 프로세스 변화 및 시스템 상태 분석Process Viewer – Symantec 개발, 프로세스 변화 및 시스템 상태 분석[Process Explorer 실행] [Process Viewer 실행]
  14. 14. 142. 악성코드 분석 도구 (7/13)7. 레지스트리 분석Registar Lite – 레지스트리 분석Reg.exe – MS 개발. 커맨드 형태의 레지스트리 편집 프로그램윈도우 2000, XP, 2003 시스템 기본 내장[Reg.exe 실행][Registar Lite 실행]
  15. 15. 152. 악성코드 분석 도구 (8/13)8. 네트워크 분석Ethereal – 네트워크 패킷 덤프 및 흐름 분석Analyzer – 네트워크 패킷 및 흐름 분석[Ethereal 실행] [Analyzer 실행]
  16. 16. 162. 악성코드 분석 도구 (9/13)9. 네트워크 분석TCPView – 실시간 네트워크 포트 상태 분석Active Ports – 실시간 네트워크 포트 상태 분석Fport – 네트워크 포트 상태 분석[TCPView 실행] [Active ports 실행]
  17. 17. 172. 악성코드 분석 도구 (10/13)10. 시스템 모니터링FileMon – 특정 프로세스의 파일 엑세스RegMon – 특정 프로세스의 레지스트리 엑세스TDIMon – 특정 프로세스의 네트워크 엑세스API Monitor – 특정 프로세스의 API 사용[FileMon 실행] [RegMon 실행]
  18. 18. 182. 악성코드 분석 도구 (11/13)[Unlocker 실행] [Listdlls 실행]HijackThis – 프로세스, BHO, 시스템 스타트업 분석listdlls – 스레드로 인젝션된 DLL 파일 분석Unloader – 스레드로 인젝션된 DLL 파일 언로드Unlocker – Lock이 설정된 파일 언로드AutoRuns – 시스템 스타트업 분석ServerWin – 시스템 서비스 및 드라이버 분석SuperScan – 네트워크 스캐너Network Scaner – 네트워크 스캐너11. 기타 유용한 분석 도구
  19. 19. 192. 악성코드 분석 도구 (12/13)12. 실행 파일 디스어셈블링W32Dasm – 실행 파일 디스어셈블과 디버깅 기능을 제공IDA – 실행 파일 디스어셈블 기능 제공[W32Dasm 실행][IDA 실행]
  20. 20. 202. 악성코드 분석 도구 (13/13)13. 실행 파일 디버깅WinDBG – MS 개발, 실행 파일 디버깅SoftIce – NuMega 개발, 강력한 커널 모드 디버깅 기능 지원OllyDbg – 범용 실행 파일 디버거[OllyDbg 실행] [SoftICE 실행]
  21. 21. 213. Reference Books
  22. 22. 223. Reference Books (1/3)1. 악성코드 관련 일반 서적악성 모바일 코드 (윈도우 바이러스 작동원리와 퇴치) – 로저 그라이암스 (2001년)Securing the Network from Malicious Code : A Complete Guide to DefendingAgainst Viruses, Worms, and Trojans - Douglas Schweitzer (2002년)Malware : Fighting Malicious Code - Ed Skoudis, Lenny Zeltser (2003년)Trojans, Worms, and Spyware, First Edition : A Computer Security Professionals Guideto Malicious Code - Michael Erbschloe (2004년)The Art of Computer Virus Research and Defense - Peter Szor (2005년)2. 악성코드 형태별 관련 서적Defense and Detection Strategies Against Internet Worms - Jose Nazario (2003년)Subverting The Windows Kernel RootKit – Greg Hoglund & James Butler (2005년)
  23. 23. 233. Reference Books (2/3)Windows NT/2000 Native API Reference - Gary Nebbett (2000년)윈도우 2000 레지스트리 관리 – 폴 로비쇼 (2000년)API로 배우는 윈도우 구조와 원리 - 야스무로 히로카즈 (2004년)윈도우 인터널즈 4/E - Mark E. Russinovich & David A. Solomon (2004)Microsoft Windows Registry Guide - Jerry Honeycutt (2005)윈도우 시스템 실행 파일의 구조와 원리 – 이호동 (2005)윈도우 구조와 원리 (OS를 관통하는 프로그래밍의 원리) – 정덕영 (2006)3. 윈도우 운영체제 관련 서적4. 윈도우 프로그래밍 관련 서적Programming Application for Microsoft Windows 4/E – Jeffrey Richter (1999년)Programming the Microsoft Windows Driver Model 2/E - Walter Oney (2003년)Network Programming for Windows 2/E - Anthony Jones & Jim Ohlund (2003년)어셈블리언어 4/E - KIP R. IRVINE (2004년)프로그래밍 윈도우 5/E – 찰스 페졸드 (2005년)
  24. 24. 245. 컴퓨터 보안 관련 서적3. Reference Books (3/3)Introduction to Computer Security - Matt Bishop (2004년)소프트웨어 보안 – Greg Hoglund & Gray Mcgraw (2004년)6. 리버스 엔지니어링 관련 서적Hacker Debugging Uncovered - Kris Kaspersky (2003년)Hacker Dissembling Uncovered - Kris Kaspersky (2005년)Reversing (Secrets of Reverse Engineering) – Eldad Eilam (2005년)Disassembling Code : IDA Pro and SoftICE (2005년)
  25. 25. 25감사합니다Q&A

×