1. 악성코드란 ?
- 시스템에 허가 없이 설치 되어 악의적인 목적을 수행하도록 설계된 모든 소프트웨어 프로그램의 총칭

2. 악성코드 분석이 필요한 이유?
- 악성 행위 파악 및 IOC 추출
- 침해 범위 및 피해규모 파악
- 백신 시그니처 및 탐지 룰 개발
- 공격자 TTPs(전술/기법/절차) 분석
- 사이버 위협 인텔리전스(CTI ) 생산
3. 정적분석이란?
- 악성코드를 실행하지 않고 파일 자체를 분석하는 기법 ( 안전한 환경에서 코드구조, 문자열, 패턴을 검사)

1) 주요과정
- 파일형식식별
- 해시값 산출
- 문자열 추출
- PE 헤더 분석
- 디스어셈블 역공학
- 패킹탐지
2) 한계
- 패킹/난독화된 코드, 동적으로 생성되는 경로는 정적분석만으로 파악하기 어려움
3) 정적분석의 주요도구

4. 동적분석이란?
- 악성코드를 격리된 환경(샌드박스)에서 실제 실행하여 런타임 동작과 시스템 변화를 관찰하는 분석기법
1) 격리환경구성
- VMware / VirtualBox
- Snapshot 으로 즉시 복구
- 네트워크 격리(INetSim 활용)
- Host OS 보호필수
2) 동적 분석 관찰 항목
- 파일시스템
- 레지스트리
- 네트워크
- 프로세스
3) 한계
- VM탐지 우회, 지연실행 악성코드, 환경 의존 조건부 동작
4) 동적 분석 주요도구

5. 정적 vs 동적

6. 실전 예시 워크플로우

7. 총정리
- 정적분석 → 실행없이 안전하게 진행가능 / 코드,구조,시그니처 파악
- 동적분석 → 격리된 VM에서 실행 / 런타임 행위, C2통신 관찰
- 복합분석 → 두 기법 병행이 표준 (빠른 분류 → 심층행위 분석)
'악성코드 > 악성코드 기초' 카테고리의 다른 글
| Virus Total (0) | 2026.06.22 |
|---|---|
| 악성코드 유형별 특징 및 대응방안 (0) | 2026.06.22 |