- 분석용 VM 또는 PC에 악성코드를 실행하면서 직접 그 행위를 분석하는 방법
- 특수하게, 실행되는 단말기가 VM일 경우 악성코드 실행을 하지 않는 악성코드도 존재한다.
- 악성코드가 레지스트리, 파일 시스템, 프로세스, 네트워크와 어떻게 상호작용 하는지 판단
filemon + regmon → procmon 으로 합쳐짐
- 악성코드 주요 행위 분석
- 행위분석은 프로그램의 행위를 분석하는 것으로, 악성코드가 운영체제에서 제공하는 API를 호출한 기록을 추적하는 것을 의미함
- 행위분석은 악성코드와 운영체제와의 대화에 초점을 맞춘 분석으로, 악성코드 자체의 알고리즘을 정확하게 보여주지는 않음 → 악성코드의 모든 기능과 특성을 조사하려면 동적으로 코드를 분석해야 함(디버깅)
- 디버깅은 악성코드를 어셈블리 언어 수준으로 실행하면서 분석하는 방법으로, 악성코드 분석가의 전문성이 요구되는 영역
1. API, 파일시스템
2. 윈도우 레지스트리 (자동 실행)
3. 네트워크, DLL, Thread 등
- 루트킷 사용 여부 분석 시 Gmer 보다 PC Hunter를 많이 사용
- Dnspy - DNS 우회하여 악성코드가 정상적으로 살아있는 것처럼 하기 위한
- Cuckoo Sandbox - 리눅스기반 악성코드 분석 플랫폼 (요새는 많이 안씀) → 웹 기반의 Anyrun 사이트가 더 용이함