악성코드 기초 분석 툴 종류 및 설명

 

 

정적 분석 툴

 

FreeUPX

• 파일이 패킹되어 있을 때

PEview

• PE(MZ) 파일인지 확인
• Section 유무
  
  • 섹션에 데이터가 없으면 이상 파일로 파악 추정할 수 있음
• section.rsrc 부분에 실제 악성코드 수행 부분이 숨겨져 있는 경우도 있음 (MZ)

Bin Text / pe studio

• 함수 파악, 악성 행위를 유추할 수 있음
• String 분석
• pestudio - blacklist에서 TI정보 확인 가능
• bintext 하단부 유니코드 확인. 유니코드에서 이상 확인 후 Unicode 로 넘어가서 분석

Resource hacker

• section.rsrc(리소스) 부분을 더 자세히 볼 때 사용

 

동적 분석 툴

sysanalyzer (실행이 안되는 DLL의 경우)

• 옵션의 경우 전부 선택하여 실행 시 많은 정보 획득
  - Delay(secs) : Snapshot 전, 후 사이의 시간 값 지정
  - Use SnifHit : HTTP 접속 및 IRC 접속 정보를 확인
  - Use Api Logger : 호출 되는 API 목록을 획득
  - Directory Watcher : 모니터링 시점에 생성되는 모든 파일 획득
  - sniffhit - 파일이 통신하는 ip 정리해서 나옴

모든 프로세스를 끄고 실행하는게 좋다.(다른 프로세스의 기록까지 수집될 수 있기에...)

process hacker

• 서비스 , 프로세스 , 네트워크 동적 분석 시 사용
• 메모리 덤프

dirwatch

• 프로그램 실행 후 발생하는 파일 생성/수정/삭제 등 기록
• 기록된 파일은 analysis 폴더에 백업되어 있음

wireshark

• 네트워크 트래픽 캡쳐
• linux - tcpdump와 같은 개념.