'분석'에 해당되는 글 1건

  1. 2008.11.18 악성코드 분석을 위한“실행압축”해제 기법 1


 이 제목을 보고“실행압축이 뭐야?”하는 이도 있을 테고“, 실행하면 자동으로 압축이 풀리는 ZIP 파일과 비
슷한 거 아냐?”하고 떠올리는 이도 있을 것이다. 그러나 여기서 설명하는 실행압축은 그 대상이 다르다. 흔
히 말하는 ZIP, RAR처럼 데이터들을 하나로 묶어 놓는 압축과는 달리 그 대상이 notepad.exe처럼 실행할 수
있는 파일을 압축한 것으로, 실행압축 된 notepad.exe는 압축을 푸는 과정없이 바로 프로그램을 실행할 수
있다.

그럼 이런 실행압축을 왜 하는 것일까? 예전처럼 하드디스크 용량이 적었을때에는 자주 쓰지 않는 파일을 압
축해 놓아 디스크 사용량을 늘렸던 적이 있었지만 오늘날에는 하드 디스크 용량이 넉넉하기 때문에 그럴만
한 이유가 없을 것이라고 생각할 수도 있다.

그러나 인터넷 인프라가 잘 갖춰진 우리나라의 경우는 예외겠지만, 압축을 사용할 경우 짧은 시간 동안 프로
그램을 다운받을 수 있기 때문에 요즘에도 온라인상에 있는 파일들은 대부분 압축이 되어 있다. 특히 실행 파
일의 경우 ZIP과 같은 범용 데이터 압축보다는 실행압축 방식을 사용하는 쪽이 더 용량이 적게 사용되기 때
문이다.

악성코드도 이런 점을 이용해 짧은 시간 안에 많은 곳으로 전파되도록 실행압축을 사용하고 있으며, 백신 제
작자들로 하여금 악성코드를 분석하기 어렵도록 하는데도 사용된다. 분석하는데 시간이 걸리는 동안 악성코
드 전파 시간을 늘릴 수 있기 때문이다. 이와 반대로 만약 실행압축을 빨리 해제하여 분석할 수 있다면, 그 피
해규모 또한 현저히 줄일 수 있을 것이다.

.
.
.

출처 : 국가사이버안전센터

Posted by skensita