SlideShare uma empresa Scribd logo

1. 악성코드 진단 기법 개론

Youngjun Chang
Youngjun Chang

2008년 서울여대 강의 자료

Tecnologia
1 de 12
Baixar para ler offline
악성코드 진단 기법 개론 2008.10.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준 주임 연구원
2 1. PE (Portable Executable) Format Win32 기반의 윈도우 운영체제에서 실행 가능한 파일 형식 PE 형식은 유닉스의 COFF(Common Object File Format)에서 유래 MZ 는 PE를 만든 Mark Zbilowski의 이니셜 1. PE Format 개론 [PE 파일]
2. PE (Portable Executable) Format 파일 생성 순서 컴파일 링크 가독성이 있는 소스코드 심볼과 바이너리 코드 바이너리 코드 1. PE Format 개론 3
3. PE (Portable Executable) Format 구조 PE와 관련된 구조체 PE Header 뒤에 오는 구조체의 배열 .text – 실행 가능한 코드 영역 .data – 초기화된 전역 변수 영역 .rdata – 읽기 전용 데이터 섹션 .idata – Import 함수 정보 영역 .edata – Export 함수 정보 영역 .rsrc – 리소스 데이터 영역 1. PE Format 개론 4
4. PE (Portable Executable) Header 시작점 로드주소 1. PE Format 개론 5
5. Win32/Dellboy.AH에 의한 EP 변경 [정상 파일] [감염 파일] 1. PE Format 개론 6
5. Win32/Dellboy.AH에 의한 Section 변경 [정상 파일] [감염 파일] 1. PE Format 개론 7
5. Win32/Dellboy.AH에 의한 전체 구조 변경 Dos Header Section 1 Header Section 2 Header .aaa1 .aaa2 PE Header .aaa0 0h 400h 27800h 3566Ch Dos Header Section 1 Header Section 2 Header .text .rdata PE Header NULL NULL .data ~ .rsrc 0h 1000h 8000h D000h [정상 파일] (53,248 바이트) [감염 파일] (218,732 바이트) Entry Point 55,8B,EC,6A [165,484 바이트 증가] 400h 정상 파일 2864Eh Entry Point 9C,60,E8,00 1. PE Format 개론 8
2. 악성코드 진단 기법 1. String 기반 진단 악성코드 내부 특정 코드 영역을 진단의 위치로 선정 가장 간단하고 빠르게 진단할 수 있는 기법 [Win-Trojan/OnlineGameHack.86016.CC 의 String 일부] 9
2. Generic 진단 특정 악성코드의 집합의 공통된 OPcode(Operation Code) 영역을 진단 위치로 선정 알려지지 않은 변형들에 대해 유연하게 대응 가능 [Win-Trojan/OnlineGameHack.86016.CC의 I.E 인젝션 코드 일부] 2. 악성코드 진단 기법 10
3. Heuristic진단 2. 악성코드 진단 기법 기존에 알려진 악성코드의 일반적인 특성을 바탕으로 그와 얼마나 유사한 코드를 가지고 있는가를 비교 * Static Heuristic Detection 악성코드의 실행 없이 기존 악성코드와 얼마나 많은 유사한 코드를 가지고 있는가를 비교 판단 * Dynamic Heuristic Detection SandBox 또는 Emulator Buffer 를 이용하여 악성코드 실행시 나타나는 증상 을 바탕으로 기존에 알려진 악성코드와 얼마나 유사한가를 판단 11
Q&A 감사합니다 12

Recomendados

1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 

Recomendados

1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응
Youngjun Chang
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
Youngjun Chang
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
Youngjun Chang
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
Youngjun Chang
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
Youngjun Chang
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
GangSeok Lee
 
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
GangSeok Lee
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
GangSeok Lee
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
Youngjun Chang
 
2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향
Youngjun Chang
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
Youngjun Chang
 

Mais conteúdo relacionado

Mais procurados

악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
Youngjun Chang
 
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
GangSeok Lee
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
GangSeok Lee
 

Mais procurados (20)

3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
악성코드와 웜
악성코드와 웜악성코드와 웜
악성코드와 웜
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
 
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
 

Destaque

Destaque (9)

2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 

Semelhante a 1. 악성코드 진단 기법 개론

05 pe 헤더(pe header)
05 pe 헤더(pe header)05 pe 헤더(pe header)
05 pe 헤더(pe header)
Ilsun Choi
 

Semelhante a 1. 악성코드 진단 기법 개론 (9)

이무송 스터디 HEX Editor로 PE 분석하기.pptx
이무송 스터디 HEX Editor로 PE 분석하기.pptx이무송 스터디 HEX Editor로 PE 분석하기.pptx
이무송 스터디 HEX Editor로 PE 분석하기.pptx
 
[오픈소스컨설팅]Spring 3.1 Core
[오픈소스컨설팅]Spring 3.1 Core [오픈소스컨설팅]Spring 3.1 Core
[오픈소스컨설팅]Spring 3.1 Core
 
파이썬 파일처리 이해하기
파이썬 파일처리 이해하기파이썬 파일처리 이해하기
파이썬 파일처리 이해하기
 
Linux 강의자료 ed10
Linux 강의자료 ed10Linux 강의자료 ed10
Linux 강의자료 ed10
 
(130608) #fitalk pfp (portable forensic plaform)
(130608) #fitalk pfp (portable forensic plaform)(130608) #fitalk pfp (portable forensic plaform)
(130608) #fitalk pfp (portable forensic plaform)
 
05 pe 헤더(pe header)
05 pe 헤더(pe header)05 pe 헤더(pe header)
05 pe 헤더(pe header)
 
05 pe 헤더(pe header)
05 pe 헤더(pe header)05 pe 헤더(pe header)
05 pe 헤더(pe header)
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 

Mais de Youngjun Chang

Mais de Youngjun Chang (14)

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향
 

Último

Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)
Wonjun Hwang
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)
Wonjun Hwang
 

Último (6)

Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
 
캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)
 
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
 

1. 악성코드 진단 기법 개론

  • 1. 악성코드 진단 기법 개론 2008.10.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준 주임 연구원
  • 2. 2 1. PE (Portable Executable) Format Win32 기반의 윈도우 운영체제에서 실행 가능한 파일 형식 PE 형식은 유닉스의 COFF(Common Object File Format)에서 유래 MZ 는 PE를 만든 Mark Zbilowski의 이니셜 1. PE Format 개론 [PE 파일]
  • 3. 2. PE (Portable Executable) Format 파일 생성 순서 컴파일 링크 가독성이 있는 소스코드 심볼과 바이너리 코드 바이너리 코드 1. PE Format 개론 3
  • 4. 3. PE (Portable Executable) Format 구조 PE와 관련된 구조체 PE Header 뒤에 오는 구조체의 배열 .text – 실행 가능한 코드 영역 .data – 초기화된 전역 변수 영역 .rdata – 읽기 전용 데이터 섹션 .idata – Import 함수 정보 영역 .edata – Export 함수 정보 영역 .rsrc – 리소스 데이터 영역 1. PE Format 개론 4
  • 5. 4. PE (Portable Executable) Header 시작점 로드주소 1. PE Format 개론 5
  • 6. 5. Win32/Dellboy.AH에 의한 EP 변경 [정상 파일] [감염 파일] 1. PE Format 개론 6
  • 7. 5. Win32/Dellboy.AH에 의한 Section 변경 [정상 파일] [감염 파일] 1. PE Format 개론 7
  • 8. 5. Win32/Dellboy.AH에 의한 전체 구조 변경 Dos Header Section 1 Header Section 2 Header .aaa1 .aaa2 PE Header .aaa0 0h 400h 27800h 3566Ch Dos Header Section 1 Header Section 2 Header .text .rdata PE Header NULL NULL .data ~ .rsrc 0h 1000h 8000h D000h [정상 파일] (53,248 바이트) [감염 파일] (218,732 바이트) Entry Point 55,8B,EC,6A [165,484 바이트 증가] 400h 정상 파일 2864Eh Entry Point 9C,60,E8,00 1. PE Format 개론 8
  • 9. 2. 악성코드 진단 기법 1. String 기반 진단 악성코드 내부 특정 코드 영역을 진단의 위치로 선정 가장 간단하고 빠르게 진단할 수 있는 기법 [Win-Trojan/OnlineGameHack.86016.CC 의 String 일부] 9
  • 10. 2. Generic 진단 특정 악성코드의 집합의 공통된 OPcode(Operation Code) 영역을 진단 위치로 선정 알려지지 않은 변형들에 대해 유연하게 대응 가능 [Win-Trojan/OnlineGameHack.86016.CC의 I.E 인젝션 코드 일부] 2. 악성코드 진단 기법 10
  • 11. 3. Heuristic진단 2. 악성코드 진단 기법 기존에 알려진 악성코드의 일반적인 특성을 바탕으로 그와 얼마나 유사한 코드를 가지고 있는가를 비교 * Static Heuristic Detection 악성코드의 실행 없이 기존 악성코드와 얼마나 많은 유사한 코드를 가지고 있는가를 비교 판단 * Dynamic Heuristic Detection SandBox 또는 Emulator Buffer 를 이용하여 악성코드 실행시 나타나는 증상 을 바탕으로 기존에 알려진 악성코드와 얼마나 유사한가를 판단 11