동적 분석
분석대상 파일(악성코드)을 직접 시스템에서 실행시킨 후, 일어나는 변화를 모니터링하여 행동 패턴을 분석하는 방법
[1] 분석 환경 준비
-VirtualBox
-windows 10 iso file
https://lucidmaj7.tistory.com/132
윈도우10(Windows10) ISO 파일 바로 받는 방법
윈도우10는 따로 설치 DVD가 필요없이 설치 디스크를 ISO파일로 받거나 설치 USB디스크로 만들 수 있습니다. 바로 윈도우 홈페이지에 접속하여 다운로드가 가능한데요. 하지만 윈도우 PC로 접속하
lucidmaj7.tistory.com
윈도우 10 iso 파일은 이 블로그 링크를 통해 바로 다운 받았다.
설정 -> 저장소 -> 비어있음 -> 광학 드라이브 -> 다운로드 받은 ISO 파일을 넣어줬다.
ㅇ어으...오래 걸린다..
가상환경에 윈도우즈 10 설치 완료
설정 -> 공유폴더로 가서 공유 폴더 세팅해줬다.
스냅샷 : 백업 기능으로 운영체제의 과거 상태를 저장한 후 이 상태로 돌아가고 싶을 때 그대로 복원하는 기능이다.
[2] 윈도우 환경 분석
1. 프로세스 확인
프로세스: 현재 컴퓨터에서 실행 중인 프로그램
- 포그라운드 프로세스(Foreground Process): 화면에서 유저와 상호작용을 하면서 동작하는 프로세스(앱)
- 백그라운드 프로세스(Background Process): 화면에 뜨지 않고 눈에 안보이는 형태로 실행되고 있는 프로세스
악성코드는 아무래도 사용자를 속이기 위해 백그라운드에서 동작을 많이 함
작업관리자-> 프로세스로 확인 가능
2. 서비스 및 시작 프로그램 확인
시스템 구성으로 볼 수 있다.
시작 프로그램이란 윈도우가 시작될 때 자동으로 실행되는 프로그램의 집합인데
악성코드의 경우 윈도우 재부팅 시, 지속적으로 실행하기 위해 시작프로그램 레지스트리에 등록하는 행위를 수행하는 경우가 많다. 따라서 시작 프로그램을 점검할 필요가 있다.
3. 네트워크 통신 상태 확인
netstat 명령어로 네트워크 통신 상태를 확인할 수 있다.
-anob 옵션은 네트워크 통신 별 프로그램을 확인할 수 있어서 악성코드 행위 분석에 용이하다.
4. 작업 스케줄러 확인
작업 스케줄러: 미리 정의된 시간 또는 지정된 시간 간격 후에 컴퓨터 프로그램이나 스크립트를 실행하는 기능
5. 윈도우 로그 확인
윈도우 로그: 윈도우 운용과정 중에서 특정 동작이나 이벤트를 체계적으로 기록한 바이너리 로깅 시스템
이벤트 뷰어를 검색하여 접근 가능
[3] 프로세스 분석
프로세스: 컴퓨터에서 연속적으로 실행되고 있는 프로그램
Process Explorer 프로그램을 이용하여 확인했다.
ms 홈페이지에서 다운이 가능하다.
실행 중인 프로세스를 확인할 수 있다.
컬럼을 선택하여 컬럼 수정을 할 수 있다.
이와 같이 여러 가지 색깔로 구분이 된다.
색의 정의는 Options-> Color Selection에서 확인할 수 있다.
프로세스 우클릭하면 프로세스 조작할 수 있는 기능들이 있다.
properties를 누르면 해당 프로세스에 대한 프로그램 경로 및 커맨드 라인, 네트워크 통신 상태, 리소스 사용량, 문자열 등 상세 정보를 확인할 수 있다.
notepad.exe실행했는데 notepad.exe로 안 뜨고 cmd.exe가 초록색으로 뜬다...
근데 notepad 찾아보면 잘 뜨는걸 보아..뭐 잘 된듯?
상세 정보 확인이 가능하다.
Notepad는 네트워크를 통해서 통신을 할 일이 없음... 따라서 상세정보 TCP/IP에 아무것도 안 뜨는걸 확인할 수 있다
스트링 값도 확인해봤다.
notepad찾으려고 했는데 얘만 떴음 이유는 나도 모르겠다
ctrl + E 로 필터링을 해봤다.
test 파일명으로 저장한 후 봤는데 뭐..이렇게 나옴 근데 나는 그렇게 많이 create file을 안했는데 이상하다..