목록2021/03 (11)
R136A1
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
초기분석 따로 실행하지 않고 파일의 외형이나 간단히 들여다 볼 수 있는 정보를 이용하여 악성코드의 동작 방식을 유추한다. - Virustotal을 이용한 정적 속성 분석 - 패킹 여부 확인 - 언패킹 이후, 문자열 확인 동적분석 악성코드를 분석환경에서 실행시킨 직후부터 순간순간의 시스템 변화를 분석하는 단계 네트워크, 프로세스, 파일시스템, 레지스트리 조작 행위 등 네트워크 행위 외부 시스템과의 통신 여부 [Wireshark, TCPview] 프로세스 행위 추가로 생성하는 프로세스 존재 여부 프로세스 자가 종료 여부 [Process Explorer] 주요 프로세스 확인 → 사용자 관련 프로세스 확인(explorer.exe 하위) →의심 프로세스 정보 확인(Description, Company Name, ..
감염경로 웹페이지, 이메일, 파일 공유 사이트에서 일반 프로그램으로 가장함 가장 인기있는 유형: 가짜 백신 프로그램(팝업을 통해 감염되었으니 프로그램을 실행하여 치료하라고 지시) 승인받은 프로그램에 악의적인 코드를 삽입하여 정상적인 동작과는 다르게 실행방법 정상 프로그램으로 위장하여 사용자의 클릭을 기다림 또는 프로그램 내에 트로이목마 프로그램이 숨겨져 있음 한 번 실행된 트로이목마는 컴퓨터 부팅 시 자동으로 동작하도록 레지스트리를 변경한다 ※ 하지만 누가 보아도 비정상적으로 보이면서 웜, 바이러스, PUP가 아닌 경우 이러한 정의에서 벗어난다. 따라서 이에 대해 다시 정의하자면 - 바이러스와 같이 다른 파일을 변조하지 않고, - 웜과 같이 네트워크를 통한 전파나 자가 복제가 이루어지지 않으며, - PU..