SlideShare uma empresa Scribd logo
1 de 25
Baixar para ler offline
1
악성코드 분석 도구
2006. 5. 17
㈜ 안철수연구소
ASEC 분석1팀 장영준 연구원
2
목 차 1. 악성코드 분석 절차
2. 악성코드 분석 도구
3. Reference Books
3
1. 악성코드 분석 절차
4
1. 악성코드 분석을 위한 사전 지식
1. 악성코드 분석 절차 (1/3)
윈도우 운영체제에 대한 이해
윈도우 네트워크에 대한 이해
윈도우 프로그램에 대한 이해
프로그램 언어와 컴파일러의 이해
실행 파일 구조 (PE File Format) 에 대한 이해
실행 파일 보호 기법 (Packer, Protector, Anti-Debugging, Encryption 등) 에 대한 이해
실행 파일 분석에 따른 다양한 유틸리티의 활용법
2. 악성코드 분석 방법론
동적 분석 (Dynamic Analysis) – 파일 실행을 통한 증상 기반 분석
시간소요 적음, 자세한 분석 어려움
정적 분석 (Static Analysis) – 리버스 엔지니어링 (Reverse Engineering) 을 통한
코드 기반 분석, 시간소요 많음, 자세한 분석 가능
5
3. 악성코드 분석 프로세스
1. 악성코드 분석 절차 (2/3)
동적 분석 (Dynamic Analysis)  정적 분석 (Static Analysis)
파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작
1. 파일 형태 분석
2. 사용 API 분석
3. 문자열 분석
1. 시스템 분석
2. 프로세스 분석
3. 레지스트리 분석
4. 네트워크 분석
6. 기타 분석
1. 증상 추가 분석
2. 각종 정보 수집
3. 관련 사항 확인
1. 디스어셈블링
2. 디버깅
1. 악성코드 판단
2. 진단 시그니쳐
및 함수 제작
3. 분석정보 작성
분 석 프 로 세 스
6
1. 악성코드 분석 절차 (3/3)
4. 악성코드 분석을 위한 시스템 환경
일반 하드웨어 시스템 (Real Hardware & System)
일반 하드웨어를 이용한 윈도우 시스템으로 구성
외부 네트워크와 단절된 독립 네트워크를 구성
가상 운영체제 시스템 (Virtual System)
MS의 Virtual PC 2004, 2005 R2 또는 Vmware의 Vmware Workstation 을 이용한
가상 윈도우 시스템과 가상 네트워크를 구성
[Virtual PC 2004] [Vmware Workstation ]
7
2. 악성코드 분석 도구
8
2. 악성코드 분석 도구 (1/13)
1. 헥사 코드 분석
실행 파일의 구조 분석과 헥사 코드를 수정하기 위한 유틸리티
윈도우 용 – Frhed, WinHex
도스 용 – HE (Hexa Editor), HT, HIEW (Hacker’s View)
[FrHed 실행]
[Hiew 실행]
9
2. 악성코드 분석 도구 (2/13)
2. 실행 파일 구조 분석
실행 파일의 정보, 구조 분석, 문자열 추출, 메모리 덤프, 실행 파일 재설계를 위한 유틸리티
윈도우 용 – LoadPE, PE Tools, PEiD, PEView, Dependency Walker, Import ReConstructor
PE Explorer, Stud_PE, PE Validator, ProcDump, BinText, WinDiff
도스 용 – PEinfo, PeDump, UltraPE, Handle
[PE Tools 실행]
[PEiD 실행]
10
2. 악성코드 분석 도구 (3/13)
3. 기타 형태 파일 구조 분석
스크립트 디코딩 – Script Decoder
MIME 파일 – MIME Viewer, Base64, Base64 for Win
CHM 압축 해제 – CHM Decompiler, HTML Help Workshop
실행 압축 파일 Unpack – UNPACKTEST
Exploit 정보 – Exploit Finder (취약점 찾아줘)
엑셀, 워드, 파워포인트 파일 – V3DV, V3OLEInfo DFVIEW
[Base64 for Win 실행]
[Exploit Finder 실행]
11
2. 악성코드 분석 도구 (4/13)
유저 모드와 커널 모드에서 은폐기능을 수행하는 루트킷 탐지
Black Light – F-Secure 개발
RootKitRevealer – Sysinternals 개발
[BlackLight 실행]
[RootKitRevealer 실행]
3. 기타 형태 파일 구조 분석
12
2. 악성코드 분석 도구 (5/13)
5. 시스템 분석
Install Control for Windows – 시스템의 파일 변화, 레지스트리 변화 추적
InstallWatch – 시스템의 파일 변화, 레지스트리 변화 추적
Winalysis – 시스템의 파일 변화, 레지스트리 변화 및 기타 시스템 변화 추적
[Install Control for Windows 실행]
[Winalysis 실행]
13
2. 악성코드 분석 도구 (6/13)
6. 프로세스 분석
Process Explorer – 시스템에 생성되는 프로세스 변화 분석
TaskInfo – 프로세스 변화 및 시스템 상태 분석
Process Viewer – Symantec 개발, 프로세스 변화 및 시스템 상태 분석
[Process Explorer 실행] [Process Viewer 실행]
14
2. 악성코드 분석 도구 (7/13)
7. 레지스트리 분석
Registar Lite – 레지스트리 분석
Reg.exe – MS 개발. 커맨드 형태의 레지스트리 편집 프로그램
윈도우 2000, XP, 2003 시스템 기본 내장
[Reg.exe 실행][Registar Lite 실행]
15
2. 악성코드 분석 도구 (8/13)
8. 네트워크 분석
Ethereal – 네트워크 패킷 덤프 및 흐름 분석
Analyzer – 네트워크 패킷 및 흐름 분석
[Ethereal 실행] [Analyzer 실행]
16
2. 악성코드 분석 도구 (9/13)
9. 네트워크 분석
TCPView – 실시간 네트워크 포트 상태 분석
Active Ports – 실시간 네트워크 포트 상태 분석
Fport – 네트워크 포트 상태 분석
[TCPView 실행] [Active ports 실행]
17
2. 악성코드 분석 도구 (10/13)
10. 시스템 모니터링
FileMon – 특정 프로세스의 파일 엑세스
RegMon – 특정 프로세스의 레지스트리 엑세스
TDIMon – 특정 프로세스의 네트워크 엑세스
API Monitor – 특정 프로세스의 API 사용
[FileMon 실행] [RegMon 실행]
18
2. 악성코드 분석 도구 (11/13)
[Unlocker 실행] [Listdlls 실행]
HijackThis – 프로세스, BHO, 시스템 스타트업 분석
listdlls – 스레드로 인젝션된 DLL 파일 분석
Unloader – 스레드로 인젝션된 DLL 파일 언로드
Unlocker – Lock이 설정된 파일 언로드
AutoRuns – 시스템 스타트업 분석
ServerWin – 시스템 서비스 및 드라이버 분석
SuperScan – 네트워크 스캐너
Network Scaner – 네트워크 스캐너
11. 기타 유용한 분석 도구
19
2. 악성코드 분석 도구 (12/13)
12. 실행 파일 디스어셈블링
W32Dasm – 실행 파일 디스어셈블과 디버깅 기능을 제공
IDA – 실행 파일 디스어셈블 기능 제공
[W32Dasm 실행]
[IDA 실행]
20
2. 악성코드 분석 도구 (13/13)
13. 실행 파일 디버깅
WinDBG – MS 개발, 실행 파일 디버깅
SoftIce – NuMega 개발, 강력한 커널 모드 디버깅 기능 지원
OllyDbg – 범용 실행 파일 디버거
[OllyDbg 실행] [SoftICE 실행]
21
3. Reference Books
22
3. Reference Books (1/3)
1. 악성코드 관련 일반 서적
악성 모바일 코드 (윈도우 바이러스 작동원리와 퇴치) – 로저 그라이암스 (2001년)
Securing the Network from Malicious Code : A Complete Guide to Defending
Against Viruses, Worms, and Trojans - Douglas Schweitzer (2002년)
Malware : Fighting Malicious Code - Ed Skoudis, Lenny Zeltser (2003년)
Trojans, Worms, and Spyware, First Edition : A Computer Security Professional's Guide
to Malicious Code - Michael Erbschloe (2004년)
The Art of Computer Virus Research and Defense - Peter Szor (2005년)
2. 악성코드 형태별 관련 서적
Defense and Detection Strategies Against Internet Worms - Jose Nazario (2003년)
Subverting The Windows Kernel RootKit – Greg Hoglund & James Butler (2005년)
23
3. Reference Books (2/3)
Windows NT/2000 Native API Reference - Gary Nebbett (2000년)
윈도우 2000 레지스트리 관리 – 폴 로비쇼 (2000년)
API로 배우는 윈도우 구조와 원리 - 야스무로 히로카즈 (2004년)
윈도우 인터널즈 4/E - Mark E. Russinovich & David A. Solomon (2004)
Microsoft Windows Registry Guide - Jerry Honeycutt (2005)
윈도우 시스템 실행 파일의 구조와 원리 – 이호동 (2005)
윈도우 구조와 원리 (OS를 관통하는 프로그래밍의 원리) – 정덕영 (2006)
3. 윈도우 운영체제 관련 서적
4. 윈도우 프로그래밍 관련 서적
Programming Application for Microsoft Windows 4/E – Jeffrey Richter (1999년)
Programming the Microsoft Windows Driver Model 2/E - Walter Oney (2003년)
Network Programming for Windows 2/E - Anthony Jones & Jim Ohlund (2003년)
어셈블리언어 4/E - KIP R. IRVINE (2004년)
프로그래밍 윈도우 5/E – 찰스 페졸드 (2005년)
24
5. 컴퓨터 보안 관련 서적
3. Reference Books (3/3)
Introduction to Computer Security - Matt Bishop (2004년)
소프트웨어 보안 – Greg Hoglund & Gray Mcgraw (2004년)
6. 리버스 엔지니어링 관련 서적
Hacker Debugging Uncovered - Kris Kaspersky (2003년)
Hacker Dissembling Uncovered - Kris Kaspersky (2005년)
Reversing (Secrets of Reverse Engineering) – Eldad Eilam (2005년)
Disassembling Code : IDA Pro and SoftICE (2005년)
25
감사합니다
Q&A

Mais conteúdo relacionado

Mais procurados

NodeJS guide for beginners
NodeJS guide for beginnersNodeJS guide for beginners
NodeJS guide for beginnersEnoch Joshua
 
逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp
逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp
逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCampimShining @DevCamp
 
No drama here - E2E-testing django with playwright
No drama here - E2E-testing django with playwrightNo drama here - E2E-testing django with playwright
No drama here - E2E-testing django with playwrightMastacheata1
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShellBoulos Dib
 
Node.js 20버전에 변경된 점들.pdf
Node.js 20버전에 변경된 점들.pdfNode.js 20버전에 변경된 점들.pdf
Node.js 20버전에 변경된 점들.pdfSeung kyoo Park
 
Py.test
Py.testPy.test
Py.testsoasme
 
Dissecting the rabbit: RabbitMQ Internal Architecture
Dissecting the rabbit: RabbitMQ Internal ArchitectureDissecting the rabbit: RabbitMQ Internal Architecture
Dissecting the rabbit: RabbitMQ Internal ArchitectureAlvaro Videla
 
Spring Boot Actuator
Spring Boot ActuatorSpring Boot Actuator
Spring Boot ActuatorRowell Belen
 
Appium an introduction
Appium   an introductionAppium   an introduction
Appium an introductionVivek Shringi
 
Django nutshell overview
Django nutshell overviewDjango nutshell overview
Django nutshell overviewschacki
 

Mais procurados (20)

Maven tutorial
Maven tutorialMaven tutorial
Maven tutorial
 
NodeJS guide for beginners
NodeJS guide for beginnersNodeJS guide for beginners
NodeJS guide for beginners
 
Node js
Node jsNode js
Node js
 
Apache maven 2 overview
Apache maven 2 overviewApache maven 2 overview
Apache maven 2 overview
 
逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp
逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp
逆向工程技术详解:解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现 | 友盟 张超 | iOS DevCamp
 
BDD for APIs
BDD for APIsBDD for APIs
BDD for APIs
 
Spring boot
Spring bootSpring boot
Spring boot
 
No drama here - E2E-testing django with playwright
No drama here - E2E-testing django with playwrightNo drama here - E2E-testing django with playwright
No drama here - E2E-testing django with playwright
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShell
 
Node.js 20버전에 변경된 점들.pdf
Node.js 20버전에 변경된 점들.pdfNode.js 20버전에 변경된 점들.pdf
Node.js 20버전에 변경된 점들.pdf
 
Py.test
Py.testPy.test
Py.test
 
Rust
RustRust
Rust
 
Dissecting the rabbit: RabbitMQ Internal Architecture
Dissecting the rabbit: RabbitMQ Internal ArchitectureDissecting the rabbit: RabbitMQ Internal Architecture
Dissecting the rabbit: RabbitMQ Internal Architecture
 
Selenium topic 1- Selenium Basic
Selenium topic 1-  Selenium BasicSelenium topic 1-  Selenium Basic
Selenium topic 1- Selenium Basic
 
Appium
AppiumAppium
Appium
 
Spring Boot Actuator
Spring Boot ActuatorSpring Boot Actuator
Spring Boot Actuator
 
Appium an introduction
Appium   an introductionAppium   an introduction
Appium an introduction
 
Maven Overview
Maven OverviewMaven Overview
Maven Overview
 
жақсыбай м көмірқышқылы
жақсыбай м көмірқышқылы жақсыбай м көмірқышқылы
жақсыбай м көмірқышқылы
 
Django nutshell overview
Django nutshell overviewDjango nutshell overview
Django nutshell overview
 

Semelhante a 악성코드 분석 도구

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안Youngjun Chang
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법Youngjun Chang
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversingYoungjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file formatYoungjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
Linux 강의자료 ed10
Linux 강의자료 ed10Linux 강의자료 ed10
Linux 강의자료 ed10hungrok
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk   utilization of ioc, ioaf and sig base(130511) #fitalk   utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 

Semelhante a 악성코드 분석 도구 (20)

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
Linux 강의자료 ed10
Linux 강의자료 ed10Linux 강의자료 ed10
Linux 강의자료 ed10
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk   utilization of ioc, ioaf and sig base(130511) #fitalk   utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 

Mais de Youngjun Chang

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)Youngjun Chang
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsYoungjun Chang
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatilityYoungjun Chang
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측Youngjun Chang
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협Youngjun Chang
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징Youngjun Chang
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basicYoungjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkitYoungjun Chang
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향Youngjun Chang
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversingYoungjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호Youngjun Chang
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향Youngjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론Youngjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호Youngjun Chang
 

Mais de Youngjun Chang (20)

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 

악성코드 분석 도구

  • 1. 1 악성코드 분석 도구 2006. 5. 17 ㈜ 안철수연구소 ASEC 분석1팀 장영준 연구원
  • 2. 2 목 차 1. 악성코드 분석 절차 2. 악성코드 분석 도구 3. Reference Books
  • 4. 4 1. 악성코드 분석을 위한 사전 지식 1. 악성코드 분석 절차 (1/3) 윈도우 운영체제에 대한 이해 윈도우 네트워크에 대한 이해 윈도우 프로그램에 대한 이해 프로그램 언어와 컴파일러의 이해 실행 파일 구조 (PE File Format) 에 대한 이해 실행 파일 보호 기법 (Packer, Protector, Anti-Debugging, Encryption 등) 에 대한 이해 실행 파일 분석에 따른 다양한 유틸리티의 활용법 2. 악성코드 분석 방법론 동적 분석 (Dynamic Analysis) – 파일 실행을 통한 증상 기반 분석 시간소요 적음, 자세한 분석 어려움 정적 분석 (Static Analysis) – 리버스 엔지니어링 (Reverse Engineering) 을 통한 코드 기반 분석, 시간소요 많음, 자세한 분석 가능
  • 5. 5 3. 악성코드 분석 프로세스 1. 악성코드 분석 절차 (2/3) 동적 분석 (Dynamic Analysis)  정적 분석 (Static Analysis) 파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작 1. 파일 형태 분석 2. 사용 API 분석 3. 문자열 분석 1. 시스템 분석 2. 프로세스 분석 3. 레지스트리 분석 4. 네트워크 분석 6. 기타 분석 1. 증상 추가 분석 2. 각종 정보 수집 3. 관련 사항 확인 1. 디스어셈블링 2. 디버깅 1. 악성코드 판단 2. 진단 시그니쳐 및 함수 제작 3. 분석정보 작성 분 석 프 로 세 스
  • 6. 6 1. 악성코드 분석 절차 (3/3) 4. 악성코드 분석을 위한 시스템 환경 일반 하드웨어 시스템 (Real Hardware & System) 일반 하드웨어를 이용한 윈도우 시스템으로 구성 외부 네트워크와 단절된 독립 네트워크를 구성 가상 운영체제 시스템 (Virtual System) MS의 Virtual PC 2004, 2005 R2 또는 Vmware의 Vmware Workstation 을 이용한 가상 윈도우 시스템과 가상 네트워크를 구성 [Virtual PC 2004] [Vmware Workstation ]
  • 8. 8 2. 악성코드 분석 도구 (1/13) 1. 헥사 코드 분석 실행 파일의 구조 분석과 헥사 코드를 수정하기 위한 유틸리티 윈도우 용 – Frhed, WinHex 도스 용 – HE (Hexa Editor), HT, HIEW (Hacker’s View) [FrHed 실행] [Hiew 실행]
  • 9. 9 2. 악성코드 분석 도구 (2/13) 2. 실행 파일 구조 분석 실행 파일의 정보, 구조 분석, 문자열 추출, 메모리 덤프, 실행 파일 재설계를 위한 유틸리티 윈도우 용 – LoadPE, PE Tools, PEiD, PEView, Dependency Walker, Import ReConstructor PE Explorer, Stud_PE, PE Validator, ProcDump, BinText, WinDiff 도스 용 – PEinfo, PeDump, UltraPE, Handle [PE Tools 실행] [PEiD 실행]
  • 10. 10 2. 악성코드 분석 도구 (3/13) 3. 기타 형태 파일 구조 분석 스크립트 디코딩 – Script Decoder MIME 파일 – MIME Viewer, Base64, Base64 for Win CHM 압축 해제 – CHM Decompiler, HTML Help Workshop 실행 압축 파일 Unpack – UNPACKTEST Exploit 정보 – Exploit Finder (취약점 찾아줘) 엑셀, 워드, 파워포인트 파일 – V3DV, V3OLEInfo DFVIEW [Base64 for Win 실행] [Exploit Finder 실행]
  • 11. 11 2. 악성코드 분석 도구 (4/13) 유저 모드와 커널 모드에서 은폐기능을 수행하는 루트킷 탐지 Black Light – F-Secure 개발 RootKitRevealer – Sysinternals 개발 [BlackLight 실행] [RootKitRevealer 실행] 3. 기타 형태 파일 구조 분석
  • 12. 12 2. 악성코드 분석 도구 (5/13) 5. 시스템 분석 Install Control for Windows – 시스템의 파일 변화, 레지스트리 변화 추적 InstallWatch – 시스템의 파일 변화, 레지스트리 변화 추적 Winalysis – 시스템의 파일 변화, 레지스트리 변화 및 기타 시스템 변화 추적 [Install Control for Windows 실행] [Winalysis 실행]
  • 13. 13 2. 악성코드 분석 도구 (6/13) 6. 프로세스 분석 Process Explorer – 시스템에 생성되는 프로세스 변화 분석 TaskInfo – 프로세스 변화 및 시스템 상태 분석 Process Viewer – Symantec 개발, 프로세스 변화 및 시스템 상태 분석 [Process Explorer 실행] [Process Viewer 실행]
  • 14. 14 2. 악성코드 분석 도구 (7/13) 7. 레지스트리 분석 Registar Lite – 레지스트리 분석 Reg.exe – MS 개발. 커맨드 형태의 레지스트리 편집 프로그램 윈도우 2000, XP, 2003 시스템 기본 내장 [Reg.exe 실행][Registar Lite 실행]
  • 15. 15 2. 악성코드 분석 도구 (8/13) 8. 네트워크 분석 Ethereal – 네트워크 패킷 덤프 및 흐름 분석 Analyzer – 네트워크 패킷 및 흐름 분석 [Ethereal 실행] [Analyzer 실행]
  • 16. 16 2. 악성코드 분석 도구 (9/13) 9. 네트워크 분석 TCPView – 실시간 네트워크 포트 상태 분석 Active Ports – 실시간 네트워크 포트 상태 분석 Fport – 네트워크 포트 상태 분석 [TCPView 실행] [Active ports 실행]
  • 17. 17 2. 악성코드 분석 도구 (10/13) 10. 시스템 모니터링 FileMon – 특정 프로세스의 파일 엑세스 RegMon – 특정 프로세스의 레지스트리 엑세스 TDIMon – 특정 프로세스의 네트워크 엑세스 API Monitor – 특정 프로세스의 API 사용 [FileMon 실행] [RegMon 실행]
  • 18. 18 2. 악성코드 분석 도구 (11/13) [Unlocker 실행] [Listdlls 실행] HijackThis – 프로세스, BHO, 시스템 스타트업 분석 listdlls – 스레드로 인젝션된 DLL 파일 분석 Unloader – 스레드로 인젝션된 DLL 파일 언로드 Unlocker – Lock이 설정된 파일 언로드 AutoRuns – 시스템 스타트업 분석 ServerWin – 시스템 서비스 및 드라이버 분석 SuperScan – 네트워크 스캐너 Network Scaner – 네트워크 스캐너 11. 기타 유용한 분석 도구
  • 19. 19 2. 악성코드 분석 도구 (12/13) 12. 실행 파일 디스어셈블링 W32Dasm – 실행 파일 디스어셈블과 디버깅 기능을 제공 IDA – 실행 파일 디스어셈블 기능 제공 [W32Dasm 실행] [IDA 실행]
  • 20. 20 2. 악성코드 분석 도구 (13/13) 13. 실행 파일 디버깅 WinDBG – MS 개발, 실행 파일 디버깅 SoftIce – NuMega 개발, 강력한 커널 모드 디버깅 기능 지원 OllyDbg – 범용 실행 파일 디버거 [OllyDbg 실행] [SoftICE 실행]
  • 22. 22 3. Reference Books (1/3) 1. 악성코드 관련 일반 서적 악성 모바일 코드 (윈도우 바이러스 작동원리와 퇴치) – 로저 그라이암스 (2001년) Securing the Network from Malicious Code : A Complete Guide to Defending Against Viruses, Worms, and Trojans - Douglas Schweitzer (2002년) Malware : Fighting Malicious Code - Ed Skoudis, Lenny Zeltser (2003년) Trojans, Worms, and Spyware, First Edition : A Computer Security Professional's Guide to Malicious Code - Michael Erbschloe (2004년) The Art of Computer Virus Research and Defense - Peter Szor (2005년) 2. 악성코드 형태별 관련 서적 Defense and Detection Strategies Against Internet Worms - Jose Nazario (2003년) Subverting The Windows Kernel RootKit – Greg Hoglund & James Butler (2005년)
  • 23. 23 3. Reference Books (2/3) Windows NT/2000 Native API Reference - Gary Nebbett (2000년) 윈도우 2000 레지스트리 관리 – 폴 로비쇼 (2000년) API로 배우는 윈도우 구조와 원리 - 야스무로 히로카즈 (2004년) 윈도우 인터널즈 4/E - Mark E. Russinovich & David A. Solomon (2004) Microsoft Windows Registry Guide - Jerry Honeycutt (2005) 윈도우 시스템 실행 파일의 구조와 원리 – 이호동 (2005) 윈도우 구조와 원리 (OS를 관통하는 프로그래밍의 원리) – 정덕영 (2006) 3. 윈도우 운영체제 관련 서적 4. 윈도우 프로그래밍 관련 서적 Programming Application for Microsoft Windows 4/E – Jeffrey Richter (1999년) Programming the Microsoft Windows Driver Model 2/E - Walter Oney (2003년) Network Programming for Windows 2/E - Anthony Jones & Jim Ohlund (2003년) 어셈블리언어 4/E - KIP R. IRVINE (2004년) 프로그래밍 윈도우 5/E – 찰스 페졸드 (2005년)
  • 24. 24 5. 컴퓨터 보안 관련 서적 3. Reference Books (3/3) Introduction to Computer Security - Matt Bishop (2004년) 소프트웨어 보안 – Greg Hoglund & Gray Mcgraw (2004년) 6. 리버스 엔지니어링 관련 서적 Hacker Debugging Uncovered - Kris Kaspersky (2003년) Hacker Dissembling Uncovered - Kris Kaspersky (2005년) Reversing (Secrets of Reverse Engineering) – Eldad Eilam (2005년) Disassembling Code : IDA Pro and SoftICE (2005년)