악성코드 분석 기법

악성코드의 분석 기법

1) 기초 정적 분석

  기초 정적 분석은 실제 명령어를 보지 않고 실행 파일을 조사하며 파일의 악성 여부를 확인하고, 기능 정보와 그 정보를 이용해 간단한 네트워크 시그니처를 생성할 수 있다.

직관적이며 신속히 수행할 수 있지만, 정교한 악성코드 분석에 비효율적이고 중요한 행위를 놓칠 수 있다.

2) 기초 동적 분석

  기초 동적 분석은 악성코드를 실행한 후 감염 흔적을 제거하거나, 유효한 시그니처를 만들거나, 두 가지 모두를 위해 시스템의 행위를 관찰한다. 하지만 악성코드를 안전하게 실행하기 위해 자신의 시스템이나 네트워크에 피해에 대한 위험 없이 연구용으로 실행할 수 있는 환경을 설정해야 한다.

3) 고급 정적 분석

  고급 정적 분석은 프로그램의 명령어가 하는 작업이 무엇인지 파악할 목적으로 실행 파일을 디스어셈블러로 로드해 악성코드의 내부를 역공학하는 과정으로 구성돼 있다. 명령어는 CPU가 실행하므로 고급 정적 분석을 통해 프로그램의 정확한 내용을 알 수 있다.

4) 고급 동적 분석

  고급 동적 분석은 디버거를 이용해 동작하는 악성 실행 파일의 내부 상태를 점검한다. 실행 파일에서 세부 정보를 추출하는 다른 방식을 제공하며 이 기법은 다른 기법으로 알아내기 어려운 정보를 획득할 때 특히 유용하다.