6. PE 헤더 정보 조사Windows 실행 파일은 PE(Portable Executable) / COFF(Common Object File Format) 를 반드시 준수해야 한다.PE 파일은 운영 체제가 메모리로 로드할 때 필요한 정보를 가진 구조체와 하위 컴포넌트로 구성되어 있다.PE 헤더에서 구조체 정보를 읽은 후 바이너리 내용을 파일에서 읽어 메모리로 로딩한다.따라서 메모리에 로드된 크기(Virtual Size)와 실제 파일 크기(Raw Size)를 비교했을 때 차이가 크다면, 패킹 가능성을 의심할 수 있다.파일 의존성과 import 조사일반적으로 악성코드는 파일, 레지스트리, 네트워크 등과 상호작용한다.이런 상호작용을 수행하고자 악성코드는 운영 시스템에서 제공하는 함수를 많이 의존하다.윈도우는 ..

1. 파일 유형 파악수작업으로 통한 파일 유형 식별HxD 와 같은 헥사 편집기로 파일을 열어 시그니처 확인한다.실행파일 또는 PE 파일은 파일의 첫 받이트에 MZ 또는 핵사 문자 4D 5A라는 파일 시그니처를 가진다.도구를 이용한 파일 분석Linux에 file 유틸리티를 이용해 파일을 식별 가능하다.윈도우에서는 CFF Explorer에서 확인 가능하다.2. 악성코드 식별파일명을 기준으로 악성코드 샘플 식별은 동일한 악성코드 샘플이 사용 가능하여 효과적이지 않다. 하지만 암호 해시는 이를 동일하게 식별하여 의심 파일을 분석 과정에서 유일한 식별자로 취급 가능하다.도구를 이용한 암호 해시 생성# Linuxmd5sum log.exesha256sum log.exesha1sum log.exe# Windows Po..