악성코드 분석 TIP
-
악성코드 감염 분석 TIPHack/No filtered 2020. 4. 6. 08:59
시나리오 1) 사용자가 무심코 악성코드를 실행함으로써 감염 2) 감염된 악성코드는 다운로더 형태로 추가 파일(mal.exe)을 다운받고 사라짐 3) 추가 파일(mal.exe)는 실행 되어서 공인인증서를 외부로 빼돌리고 원본파일 삭제됨 동적분석이든 정적 분석이든 하고 싶지만.. PC 내부에 남아있는 악성코드가 없으므로 분석하기가 쉽지 않음 아래 3가지 방법으로 실행했던 파일의 이름을 파악할 수 있다. 1. UserAssist 레지스트리에서 최근 실행 프로그램을 확인할 수 있다. (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist) 2. Prefetch 빈번하게 사용되는 프로그램을 메모리로 빠르게 읽어오기 위해 캐시..