악성코드란 무엇인가?
악성코드: 컴퓨터에 악영향을 미칠 수 있는 모든 소프트웨어의 총칭
형태에 따른 분류
- 바이러스
정상 파일, 부트섹터 감염 악성코드
다른 정상 파일에 빌붙음 - 웜
네트워크로 확산되는 악성코드 - 트로이 목마
특정 조건이 성립될 때 동작하는 악성코드
보통 정보 유출을 위해 제작됨 - 백도어
해커들이 접근하기 쉽게 뒷문을 만드는 악성코드 - 스파이웨어
정식 소프트웨어 내에 광고같은거 넣어놓음
즉 정상 소프트웨어 내에 광고 띄우는 프로그램이 내장 - 애드웨어
광고 노출을 목적으로 하는 악성코드
악성코드 분석
나는 https://bazaar.abuse.ch/ 여기서 악성 파일을 다운받는다.
정적 분석
악성 파일을 실행하지 않고 뜯어보며 분석
- 도구: 보통 리버싱 도구를 많이 활용함
HxD
detect it easy
pestudio
동적 분석
악성 파일을 직접 실행하며 분석
(메인 컴에서 돌리면 절대 안되고 가상환경에서 돌리기)
- 도구
프로세스 관련: process explorer, process monitor
레지스트리 관련: regshot, autoruns
네트워크 관련: wireshark
디버깅: ollydbg, x96dbg
백신이란 무엇인가?
백신: 악성코드를 진단하고 치료하여 원래의 상태로 되돌리는 소프트웨어
백신의 절차는 대충 다음과 같다.
탐지 -> 격리 -> 증거수집 -> 분석 -> 치료 -> 사후조치
탐지: 의심 징후를 탐지
격리: 해당 파일을 컴퓨터로부터 격리
증거 보전: 로그, 이미지 덤프 등으로 증거 수집
분석: 정적/동적 분석으로 악성코드 특성 파악
치료: 제거, 파일 복구 등
사후 조치: 원인 분석, 시그니처 추가, 교육 등으로 재발 방지
반응형
'악성코드와 백신 > 백신 개발일지' 카테고리의 다른 글
| [백신 개발](6)[Import table을 이용한 탐지] (0) | 2026.03.17 |
|---|---|
| [백신 개발](5)[시그니처 탐지] (0) | 2026.03.13 |
| [백신 개발](4)[바이러스 db] (0) | 2026.03.05 |
| [백신 개발](3)[EICAR 변종 탐지] (0) | 2026.03.04 |
| [백신 개발](2)[EICAR test file] (0) | 2026.03.03 |