Upload
gangseok-lee
View
819
Download
4
Embed Size (px)
DESCRIPTION
2007 CodeEngn Conference 01 악성코드의 정의, 악성코드 분석을 하려고 했을때 공부해야 할 것들 코드의 기본적인 제작방법 루틴 설명 / 발전하는 악성코드 제작 프로그램 악성코드 분석에 앞서 분석환경 구축설명 간단한 악성코드 분석과 발표자가 제작한 AntiVirus 프로그램 설명 악성코드 탐지방법 설명등에 대해서 설명한다. http://codeengn.com/conference/01
Citation preview
1st CodeEngn Seminar 07.07.21
1
http://www.CodeEngn.com
이강석이강석 Certlab%Gmail.comCertlab%Gmail.com
Malware Analysis StartMalware Analysis StartMalware Analysis Start
1st CodeEngn Seminar 07.07.21
2
http://www.CodeEngn.com
# Agenda
악성코드의 정의1
악성코드의 제작3
발전하는 악성코드 제작툴4
공부해야 할 것들2
악성코드 분석 랩 구축5
AntiVirus Program7
악성코드 탐지기법8
악성코드 분석6
1st CodeEngn Seminar 07.07.21
3
http://www.CodeEngn.com
악성코드의악성코드의 소개소개
#1. MalwareCode#1. MalwareCode#1. MalwareCode
1st CodeEngn Seminar 07.07.21
4
http://www.CodeEngn.com
■ Malicious Code : Malware(Virus + Worm + Backdoor, Trojan, Spyware, Etc..)
■ 정의사용자의 의사와는 관계없이 시스템을 파괴하거나 정보를 유출하는 등악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말합니다.
#1. MalwareCode
1st CodeEngn Seminar 07.07.21
5
http://www.CodeEngn.com
■ 웜, 바이러스 감염사고 월별 발생 추이
출처 : 국가정보원 - Monthly 사이버 시큐리티 2007년 7월호
#1. MalwareCode
1st CodeEngn Seminar 07.07.21
6
http://www.CodeEngn.com
출처 : 국가정보원 –Monthly 사이버 시큐리티 2007년 7월호
# 문제점- 최신 윈도우 보안패치 미흡- 백신프로그램의 업데이트 미흡
#1. MalwareCode
1st CodeEngn Seminar 07.07.21
7
http://www.CodeEngn.com
악성코드악성코드 분석을분석을 위한위한 공부과제들공부과제들
#2. 공부해야할것들#2. #2. 공부해야할것들공부해야할것들
1st CodeEngn Seminar 07.07.21
8
http://www.CodeEngn.com
#2. 공부과제
PE FormatPE Format
1st CodeEngn Seminar 07.07.21
9
http://www.CodeEngn.com
AssemblyAssembly
#2. 공부과제
1st CodeEngn Seminar 07.07.21
10
http://www.CodeEngn.com
APIAPI
#2. 공부과제
1st CodeEngn Seminar 07.07.21
11
http://www.CodeEngn.com
Programming LanguageProgramming Language
File FormatFile Format
Memory / ProcessMemory / Process
DebuggingDebugging
Calling Conventions / StackCalling Conventions / Stack
Manual UnpackingManual Unpacking
Windows KernelWindows Kernel
SEHSEH
……
……
#2. 공부과제
1st CodeEngn Seminar 07.07.21
12
http://www.CodeEngn.com
일반화일반화 되어있는되어있는 악성코드들의악성코드들의 기본뼈대기본뼈대
#3. 악성코드의 제작#3. #3. 악성코드의악성코드의 제작제작
1st CodeEngn Seminar 07.07.21
13
http://www.CodeEngn.com
Injection();
Work();
jmpEP();
Target_search();
status();# 기본적인 MalwareCode 제작Sample01.c
#3. MalwareCode Coding
1st CodeEngn Seminar 07.07.21
14
http://www.CodeEngn.com
Search_p2p();
Copy_mfile();
Run_add();
Copy_file();# 기본적인 p2p MalwareCode 제작Sample02.c
#3. MalwareCode Coding
1st CodeEngn Seminar 07.07.21
15
http://www.CodeEngn.com
Run_IRC();
Run_add();
Copy_file();# 기본적인 IRC MalwareCode 제작Sample03.c
#3. MalwareCode Coding
1st CodeEngn Seminar 07.07.21
16
http://www.CodeEngn.com
악성코드악성코드 제작툴도제작툴도 발전하고발전하고 있다있다..
#4. 악성코드 제작 툴#4. #4. 악성코드악성코드 제작제작 툴툴
1st CodeEngn Seminar 07.07.21
17
http://www.CodeEngn.com
#4. 악성코드 제작툴
1st CodeEngn Seminar 07.07.21
18
http://www.CodeEngn.com
악성코드악성코드 분석을분석을 위한위한 다양한다양한 환경환경 구축구축
#5. 악성코드 분석 랩 구축#5. #5. 악성코드악성코드 분석분석 랩랩 구축구축
1st CodeEngn Seminar 07.07.21
19
http://www.CodeEngn.com
1
PE File 분석툴모니터링 툴디버깅 툴디어셈블러 툴………
2
Windows 2000Windows XPWindows XP SP1Windows XP SP2………
3
Static AnalysisDynamin Analysis………
#5. 악성코드 분석 랩 구축
1st CodeEngn Seminar 07.07.21
20
http://www.CodeEngn.com
MalwareCode Sample AnalysisMalwareCode Sample Analysis
#6. 악성코드 분석#6. #6. 악성코드악성코드 분석분석
1st CodeEngn Seminar 07.07.21
21
http://www.CodeEngn.com
Dynamic Analysis
-실행을 통한 분석-그에따른 환경구축-시나리오 파악-디버깅&코드 분석
Static Analysis
-정밀조사가 필요한 핵심부분세밀한 코드분석-디버깅&코드 분석
MalwareAnalysis
#6. 악성코드 분석
1st CodeEngn Seminar 07.07.21
22
http://www.CodeEngn.com
Dynamic AnalysisDynamic Analysis
Analysis
샘플실행 /동작방식 분석
MUP
초기분석
#6. 악성코드 분석
1st CodeEngn Seminar 07.07.21
23
http://www.CodeEngn.com
Static AnalysisStatic Analysis
Analysis
Debugging /Disassembler
MUP
초기분석
#6. 악성코드 분석
1st CodeEngn Seminar 07.07.21
24
http://www.CodeEngn.com
AntiVirus ProgramAntiVirus Program
#7. AntiVirus Program#7. AntiVirus Program#7. AntiVirus Program
1st CodeEngn Seminar 07.07.21
25
http://www.CodeEngn.com
어셈러브어셈러브 AntiVirus 2007 by CertlabAntiVirus 2007 by Certlab
#7. AntiVirus Program
1st CodeEngn Seminar 07.07.21
26
http://www.CodeEngn.com
악성코드를악성코드를 탐지하는탐지하는 다양한다양한 기법들기법들
#8. 악성코드 탐지기법#8. #8. 악성코드악성코드 탐지기법탐지기법
1st CodeEngn Seminar 07.07.21
27
http://www.CodeEngn.com
File base Detection Tech
#8. 악성코드 탐지기법
1st CodeEngn Seminar 07.07.21
28
http://www.CodeEngn.com
Heuristic Detection Tech
#8. 악성코드 탐지기법
1st CodeEngn Seminar 07.07.21
29
http://www.CodeEngn.com
Generic Detection Tech #1
#8. 악성코드 탐지기법
1st CodeEngn Seminar 07.07.21
30
http://www.CodeEngn.com
Generic Detection Tech #2
#8. 악성코드 탐지기법
1st CodeEngn Seminar 07.07.21
31
http://www.CodeEngn.com
ReferenceReference
어셈블리어 개발자그룹www.asmlove.co.kr
다양한 악성코드 탐지기법www.ahnlab.co.kr
국가정보원 - Monthly 사이버시큐리티 2007년 7월호www.ncsc.go.kr
Manual Unpackingwww.icrack.co.kr
# Reference
1st CodeEngn Seminar 07.07.21
32
http://www.CodeEngn.com
www.certlab.orgwww.asmlove.co.kr
이강석 / [email protected]
감사합니다감사합니다..