18. 윈도우 PE(Portable Executable) 파일은 윈도우 7과 같이 NT계열 운영체제에서 실행 가능한 파일 포맷이다. PE 파일은 실행 코드, 데이터, 리소스 및 메타데이터를 포함하는 구조를 가지며, 일반적으로 .exe(executable), .dll(dynamic link library), .sys(driver) 확장자를 가진 파일들을 포함한다. 악성파일의 경우에도 윈도우 OS에서 실행되기 위해 PE포맷을 사용하는데, 악성코드 작성자는 PE파일을 난독화하거나, PE헤더와 섹션 정보를 변형하여 디버깅 및 분석을 어렵게 만든다. 이러한 악성파일을 분석하는 아래 3가지 방법에 대하여 설명 하시오.
1) 자동 분석 2) 반자동화 분석 3) 수동 분석
클릭하면 정답이 보입니다.
| 정답 확인 | 맞췄어요 O | 틀렸어요 X |
1) 자동 분석
- 분석 도구나 플랫폼이 악성코드를 자동으로 실행하고, 네트워크 활동, 파일. 생성, 레지스트리 변경 등의 행동을 모니터링하여 보고서를 생성
- 분석 속도가 빠름 / 대량의 샘플을 처리 가능 / 샌드박스 기술을 주로 사용
- 우회 기법(예: 가상환경 탐지)에 취약 / 심층적인 분석은 어려움
2) 반자동화 분석
- 분석가가 자동화 도구의 결과를 기반으로 필요시 수동으로 추가 분석을 수행
- 자동 분석의 효율성과 수동 분석의 정밀성을 결합
- 효율성과 정확성의 균형
- 디버거, 모니터링 도구, 정적 분석 도구 등을 활용
- 일부 난독화, 우회기법 대응 가능
3) 수동 분석
- 전문가가 악성코드를 직접 역공학(reverse engineering)하여 내부 구조, 코드, 동작 원리를 분석
- 어셈블리 코드 분석, API 호출 추적, 메모리 덤프 분석 등 수행
- IDA Pro, Ghidra, OllyDbg 같은 전문 도구 사용
- 가장 정확하고 심층적인 분석 가능 / 복잡한 위협(예: APT, 커스텀 악성코드)에 필수
- 많은 시간과 전문 지식 필요 / 분석 비용이 높음
- 분석 도구나 플랫폼이 악성코드를 자동으로 실행하고, 네트워크 활동, 파일. 생성, 레지스트리 변경 등의 행동을 모니터링하여 보고서를 생성
- 분석 속도가 빠름 / 대량의 샘플을 처리 가능 / 샌드박스 기술을 주로 사용
- 우회 기법(예: 가상환경 탐지)에 취약 / 심층적인 분석은 어려움
2) 반자동화 분석
- 분석가가 자동화 도구의 결과를 기반으로 필요시 수동으로 추가 분석을 수행
- 자동 분석의 효율성과 수동 분석의 정밀성을 결합
- 효율성과 정확성의 균형
- 디버거, 모니터링 도구, 정적 분석 도구 등을 활용
- 일부 난독화, 우회기법 대응 가능
3) 수동 분석
- 전문가가 악성코드를 직접 역공학(reverse engineering)하여 내부 구조, 코드, 동작 원리를 분석
- 어셈블리 코드 분석, API 호출 추적, 메모리 덤프 분석 등 수행
- IDA Pro, Ghidra, OllyDbg 같은 전문 도구 사용
- 가장 정확하고 심층적인 분석 가능 / 복잡한 위협(예: APT, 커스텀 악성코드)에 필수
- 많은 시간과 전문 지식 필요 / 분석 비용이 높음
위키 해설
모두가 함께 공부하는 위키해설이란?
📝 문제 해설(등록자)
클릭하면 보입니다.
🤖 AI 문제 해설
AI의 해설은 정확하지 않을 수 있으니 읽어보시고 꼭 평가해주세요.
시기에 따라 사용 가능한 모델이 달라질 수 있습니다.
🤝 무료 LLM 모델을 찾고 있습니다.
클릭하면 보입니다.