[악성코드 분석] 동적분석

동적 분석

1) 동적 분석이란?

- 악성코드 파일을 실행 중에 나타나는 변화 모니터링하며, 어떠한 기능을 수행하는지를 확인하는 분석 방법
- 악성코드 파일이 실제 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행해야 함

 

 

 

Windows 기본 프로세스
1) 종류
• 악성코드 파일을 실행 중에 나타나는 변화를 모니터링하며, 어떠한 기능을 수행하는지를 확인하는 분석 방법
• 악성코드 파일이 실제 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행해야 함

 

Windows  기본 프로세스
• csrss.exe( Client / Server Runtime SubSystem, Win32 )
- 윈도우 콘솔을 관장하고, 스레드 생성/삭제, 32bit 가상 MS-DOS 모드 지원

• Isass.exe( Local Security Authentication Server )
- winlogon 서비스에 필요한 인증 프로세스

• smss.exe( Session Manager SubSystem )
- 사용자 세션을 시작하는 기능을 담당
- 이 프로세스는 winlogon, win32(csrss.exe)를 구동시키고, 시스템 변수를 설정
- winlogon이나 csrss가 끝나기를 기다려 정상적인 winlogon과 csrss 종료 시 시스템을 종료시 킴

• svchost.exe( Service Host Process )
- DLL(Dynamic Link Library)에 의해 실행되는 프로세스의 기본 프로세스
- 한 시스템에 여러 개의 svchost가 존재

 

 

• mstask.exe( Window Task Scheduler )
- 시스템에 대한 백업이나, 업데이트 등에 관련된 작업의 스케쥴러

• Explorer.exe
- 작업표시줄, 바탕 화면과 같은 사용자 셸을 지원

• services.exe( Service Control Manager )
- 시스템 서비스들을 시작 / 정지시키고, 그들 간의 상호작용 기능을 수행

• taskmgr.exe( Task Manager )
- 작업 관리자

• winlogon.exe( Windows Logon Process )
- 사용자 로그온/로그오프를 담당하는 프로세스
- 윈도우 시작/종료시에 활성화되며, 단축키 Ctrl+Alt+Del을 눌러도 활성화

 

• msdtc.exe( Distributed Transaction Coordinator )
- 웹서버 및 SQL 서버 구동 시에 다른 서버와의 연동을 위한 프로세스

• ctfmon.exe( Alternative User Input Services )
- 여러가지 텍스트(키보드, 음성, 손으로 적을 글 등) 입력에 대한 처리를 할 수 있도록 지원하는 프로세스

• dfssvc.exe
- 분산 파일 시스템(DFS, Distributed File System)에 대한 지원을 위해 백그라운드로 실행되고 있는 프로세스

 

 

백그라운드 반대말 포그라운드