기초 악성 코드 분석 1
1. 악성 코드
1.1 악성 코드란
- 악성코드(Malware)는 "악의적인 소프트웨어"의 줄임말로, 사용자나 시스템에 피해를 주기 위해 만들어진 프로그램 또는 코드
1.2 악성 코드 종류별 특징
| 종류 | 설명 | 특징 | 예시 |
| 바이러스 | 다른 파일에 붙어서 감염 | 실행 파일에 숨겨짐, 사용자 실행 필요 | 매크로 바이러스, File Infector |
| 웜 (Worm) | 네트워크를 통해 스스로 복제 | 사용자 개입 없이 전파, 네트워크 과부하 유발 | 이메일 웜, Conficker |
| 트로이 목마 | 정상 프로그램으로 위장 | 백도어 설치, 시스템 제어 탈취 | 게임 핵, 가짜 백신 프로그램 |
| 랜섬웨어 | 파일을 암호화해 금전 요구 | 데이터 인질화, 암호화폐로 몸값 요구 | WannaCry, LockBit |
| 스파이웨어 | 사용자 정보 몰래 수집 | 키로깅, 웹 히스토리 수집, 계정 정보 탈취 | 키로거, 트래커 |
| 애드웨어 | 광고를 과도하게 표시 | 팝업 광고, 브라우저 리디렉션, 성능 저하 | 무료 앱에 포함된 광고 코드 |
| 루트킷 | 시스템에 깊숙이 숨음 | 관리자 권한 획득, 보안 탐지 회피 | 운영체제 커널에 숨겨짐 |
| 봇넷 | 감염된 다수의 PC 원격 제어 | DDoS 공격, 스팸 발송, 불법 채굴 등에 사용 | Mirai, Zeus |
1.3 악성 코드 별 대응 방식
| 종류 | 유포 방식 | 탐지 방법 | 대응 전략 |
| 바이러스 | 감염된 파일 첨부, USB 등 저장매체 | 백신 프로그램 정기 검사, 파일 무결성 검사 | 백신 최신 유지, 출처 불분명한 파일 실행 금지 |
| 웜 (Worm) | 이메일, 네트워크 공유, 취약한 포트 | 네트워크 트래픽 모니터링, IDS/IPS(침입 탐지/방지 시스템) | OS/소프트웨어 최신 패치 적용, 방화벽 설정 |
| 트로이 목마 | 정식 프로그램 위장, 피싱 사이트, 다운로드 유도 | 동작 이상 징후 감지, 행동 기반 탐지(HIPS), 샌드박스 분석 | 신뢰된 출처에서만 설치, 의심 파일 격리 실행 |
| 랜섬웨어 | 이메일 첨부파일, 취약한 RDP, 크랙툴, 악성 웹사이트 | 파일 암호화 시도 탐지, 행위 기반 탐지, 의심스러운 파일 모니터링 | 정기 백업, RDP 차단, 메일 첨부파일 주의 |
| 스파이웨어 | 무료 소프트웨어, 악성 광고, 피싱 링크 | 키로깅 탐지, 네트워크 이상 트래픽 탐지, 스파이웨어 전용 스캐너 | 스파이웨어 차단 툴 사용, 브라우저 보안 설정 강화 |
| 애드웨어 | 프리웨어 번들 설치, 악성 웹사이트 광고 | 팝업 감지, 광고 생성 프로세스 분석 | 광고 차단 프로그램 사용, 프리웨어 설치 시 커스텀 옵션 선택 |
| 루트킷 | 시스템 커널 악용, 드라이버 위장, 트로이 목마에 포함 | 루트킷 탐지 전용 도구, 커널 무결성 검사 | 안전모드 검사, 클린 설치, 관리자 권한 보호 |
| 봇넷 | 웜·트로이 목마 등으로 감염 후 C&C 서버와 연결 | 비정상 포트 사용 감시, DNS 요청 분석, 통신 패턴 탐지 | 포트 차단, C&C 서버 차단, 감염 시스템 격리 및 복구 |
2. 컴퓨터 구조
2.1 레지스터 (Registers)
| 종류 | 설명 | 예시 |
| 범용 레지스터 | 데이터 처리용. 산술/논리 연산에 사용됨 | EAX, EBX, ECX, EDX (x86), RAX (x64) |
| 포인터 레지스터 | 메모리 주소 처리 | ESI/EDI (source/destination), ESP (stack pointer), EBP (base pointer) |
| 명령 포인터 (IP/RIP) | 현재 실행 중인 명령어 주소 | EIP (x86), RIP (x64) |
| 플래그 레지스터 | 연산 결과 상태 저장 (carry, zero 등) | EFLAGS |
레지스터 변경 여부 추적은 코드 흐름 분석, 악성코드 행위 추정에 중요함.
2.2 메모리 구조 (Memory Layout)
| 영역 | 설명 |
| Text (Code) | 실행할 명령어 저장. 읽기 전용. |
| Data | 초기화된 전역/정적 변수 |
| BSS | 초기화되지 않은 전역/정적 변수 |
| Heap | 동적 메모리 할당 영역 (malloc, new 등) |
| Stack | 함수 호출 시 지역 변수, 리턴 주소 저장 |
악성코드는 종종 Stack을 오염시키거나, Heap에 셸코드를 적재해서 공격함.
2.3 스택 구조 (Call Stack)
- 후입선출(LIFO) 구조
- 함수 호출 시:
- 리턴 주소
- 이전 EBP
- 함수 인자
- 지역 변수 순서로 쌓임
- 함수가 끝나면 ret 명령어로 스택에서 리턴 주소 복원
악성코드는 스택을 조작해서 리턴 주소를 바꾸는 ROP/JOP 기법을 사용할 수 있음.
2.4 명령어 실행 흐름
- 명령어 페치 → 디코드 → 실행
- EIP/RIP은 현재 실행 중인 명령어 주소를 가리킴
- 흐름 변경 명령: jmp, call, ret, je, jne, loop
코드 흐름을 분석하면 악성코드의 "조건부 실행"이나 "우회 로직"을 파악할 수 있음
2.5 인터럽트 & 시스템 콜
- 인터럽트 (int): 하드웨어/소프트웨어 요청으로 CPU가 처리 루틴 전환
- 시스템 콜: OS 기능 요청 (int 0x80, syscall 등)
악성코드는 시스템 호출을 통해 파일 열기, 네트워크 연결, 프로세스 생성 등 행위를 함
2.6 명령어 세트 (ISA)
- x86, x64 구조가 주로 사용됨
- 각 명령어는 opcode + 피연산자 구조
mov eax, 0x1 ; EAX에 값 1 저장
add eax, ebx ; EAX = EAX + EBX
push eax ; 스택에 EAX 저장
call 0x401000 ; 0x401000 위치 함수 호출명령어 해석 능력은 IDA, Ghidra, x64dbg에서 필수
2.7 엔디안 (Endian)
| 방식 | 설명 |
| Little Endian | LSB (하위 바이트)를 먼저 저장 (x86/x64 대부분) |
| Big Endian | MSB (상위 바이트)를 먼저 저장 |
예시: 0x12345678
- Little Endian: 78 56 34 12
- Big Endian: 12 34 56 78
파일 분석 시 바이트 순서에 따라 결과가 달라질 수 있으니 주의!
2.8 메모리 주소 체계
| 주소 방식 | 설명 |
| 가상 주소 | 프로그램이 보는 주소. OS에 의해 매핑됨 |
| 물리 주소 | 실제 하드웨어 메모리 위치 |
| 상대 주소 (RVA) | 베이스 주소 + 오프셋 (파일 분석 시 자주 사용) |
악성 PE 파일 분석 시 RVA → 실제 위치 매핑이 필요