brainstack

4. 네트워크 행위 분석 (92~98)5. 환경 분석 (99~102)6. 레지스트리 분석(103~107)   4. 네트워크 행위 분석  네트워크 행위 분석- 악성코드 실행 후, 네트워크 변화를 확인하는 단계- 종류에 따라 C&C서버, 악성코드 유포지, 통신지 등 확인 가능- 웜이나 좀비 악성코드 같은 경우, 전파 행위도 네트워크 행위 분석을 통해 파악 가능- TCPView, Wireshark, Microsoft Network Monitor 등  (1)  TCPView - Windows Sysinternals에서 제작- 네트워크 행위 모니터링 도구- 윈도우 OS에서 프로세스와 통신 행위, TCP/UDP의 엔드포인트 정보를 모니터링- 현재 실행중인 프로세스의 네트워크 통신 상태와 패킷 송수신량 확인 가능  ..

동적 분석: 분석대상 파일(악성코드)을 직접 시스템에서 실행시킨 후, 일어나는 변화를 모니터링하여 행동 패턴을 분석하는 방법  1. 분석 환경 (1) Virtual Box- 동적 분석은 실제로 악성코드를 실행시키는 분석 방법이기 때문에 가상환경에서 동적 분석을 수행하여야 함.- 가상환경을 구축하기 위해서는 가상 이미지 파일(.iso)이 필요 아래 글을 참고하여 iso 이미지 파일을 만들어준다. 윈도우10 순정 ISO 파일 다운로드 방법윈도우10 최신 버전 ISO 파일을 다운로드 받기 위해서는 설치 도구 프로그램을 이용하는 것이 일반적입...blog.naver.com    (2) 두 가지 기능 활성화- 공유폴더 설정( 버추얼박스에서 호스트와 게스트 간 파일을 주고 받는 방법으로 분석 대상 파일이나 동적 분..

악성코드 분석방법 - 초기 분석 - 동적 분석 - 정적 분석 - 자동화 분석초기 분석이란?수집된 악성코드를 맨 처음으로 분석하는 단계.즉, 수집된 악성코드를 따로 실행하지 않고 외형을 보고 분석하는 단계를 뜻함1. 안티바이러스 스캔 - 악성코드는 고유의 (HASH)값을 가지고 있기때문에, 해시값을 매칭하여 안티바이러스 엔진에서 악성코드 여부, 탐지명 등의 정보를 확인할 수 있다. * HASH (해시) 값: 임의의 길이를 가진 데이터를 입력으로 받아 고정된 길이의 값을 출력하는 해시 함수(Hash function)에 의해 생성된 값입니다. 해시값은 원본 데이터를 고유하게 나타내는 역할을 하며, 데이터 무결성 확인, 암호화, 데이터 검색 등 다양한 분야에서 사용> 파일 해시값 확인 - WinMD5Free (..