기초 정적 분석

 

1. 정적 분석 

• 악성코드를 실행하지 않고 분석
• 악성코드의 기능을 파악하기 위해 코드나 프로그램의 구조를 악성코드를 실행하지 않고 분석하는 과정 
• 주요 사용 기법
  • 안티바이러스 도구 사용 (ex. 백신 ..)
  • 악성코드를 판별하는 해시 정보 검증 (모든 exe 파일은 생성될 때 고유의 값을 가짐)
  • 파일의 문자열, 함수, 헤더에서 주요 정보 수집 (e.g. PE viewer)

 

2. 안티바이러스 스캐닝 

• 악성코드 탐지 (기본)
  • 패턴 매칭 분석(주로 많이 사용): file signatures를 검색하여 찾는 방법
  • heuristic: 악성코드를 변조시키거나, 신종을 나오게 하는 방법

VirusTotal : https://www.virustotal.com/gui/home/upload

VirusTotal

 

온라인 상에서 71개의 악성 코드 검사 엔진으로 의심스러운 파일 등을 분석해준다. 

 

- notepad.exe 프로그램 검증 시도

당연히 모든 엔진에서 해당 파일이 정상 파일이라고 판단했다. 

 

 

DETAILS에서 해시값 항목을 통해 notepad.exe의 고유 해시값을 확인할 수 있다.

이를 통해 파일 자체의 진위여부를 확인할 수 있다. (변조가 되었는지 등)

이외의 다양한 정보들이 있음 

 

 

3. 해시 정보 검증 

• 해시: 악성/정상 코드의 고유 값
• SHA-1, MD5
• 해시 값을 확인하여  변조가 되었는지 아닌지 알 수 있다.
• WinMD5Free : https://www.winmd5.com/

4. 문자열 검색 

• 실행해보지 않고 문자열 정보만을 추출한다.
  • 코드내의 문자열 검색 및 추출
• 문자 표현(문자열을 저장하는 방식)
  •  ASCII(8bit)
  •  Unicode(16bit)
• Strings(https://technet.microsoft.com/en-us/sysinternals/bb897439)

 

- 실행 

 

 

- api , dll 등도 확인 가능 

 

5. 패킹 / 난독화 

• 악성코드 은폐 목적, 문자열 검색 안됨
• LoadLibrary, GetProcAddress 함수 -> 악성코드에서 사용
• 이 두 함수는 Windows API에서 매우 중요한 역할을 하는데, 주로 동적 링크 라이브러리(DLL) 파일을 프로그램에 로드하고, 해당 DLL 파일 내의 함수 주소를 얻기 위해 사용된다.
• 악성코드에서의 사용: 악성코드 개발자들은 이러한 기능을 이용하여 악성 기능을 숨기거나, 보안 소프트웨어가 쉽게 탐지하지 못하게 하는 기법으로 사용할 수 있다.
• 예를 들어, 특정 DLL을 런타임에 로드하여 해당 DLL의 기능을 사용함으로써 정적 분석을 회피할 수 있다.
• PEiD(탐지), UPX(패킹프로그램)

패킹 파일

• 정의: 패킹(packing)은 파일을 압축하고 암호화하는 과정을 통해 파일의 실제 내용을 숨기는 기술이다.
  • 이 방법은 주로 소프트웨어 개발자들이 저작권 보호를 위해 사용하나, 악성코드 작성자들도 탐지를 피하기 위해 자주 사용합니다.
• 파일 크기: 패킹 과정을 통해 파일 크기가 줄어들게 되며, 이는 네트워크 전송 시간 감소나 디스크 공간 절약 등의 이점을 제공할 수 있다.
• 래퍼 프로그램: 패킹된 파일을 다시 원래대로 복구해주는 프로그램
• 이 프로그램은 실행 시 패킹된 코드를 메모리에 로드하고, 그 내용을 동적으로 복구하여 실행한다.
• 즉, 원본 실행 파일을 래퍼 프로그램과 함께 패킹하여 배포하고, 실행 시에 래퍼가 패킹된 내용을 풀어 원본처럼 작동하게 만드는 것이다.

- 정상 파일 확인 

 

UPX로 패킹되어 있는 것을 확인할 수 있다.