악성코드 포렌식

악성코드에 대한 포렌식 분석은 악성코드의 클래스 특성과 개별적 특성을 구별하는 능력에 크게 의존합니다. 이는 포렌식 조사 과정에서 중대한 차이를 만들어내며, 범죄의 복잡한 맥락 속에서 중요한 정보를 밝혀낼 수 있습니다.

 

클래스 대 개별적 특성

모든 형태의 악성코드를 완전히 알고 있다는 것은 불가능에 가깝습니다. 조사의 최선의 노력은 알려진 샘플과 알려지지 않은 악성코드를 비교하고, 악성코드 샘플을 단지 식별하는 것이 아니라, 그것을 어떻게 해석할지에 대한 초기 분석을 수행하는 것을 포함합니다.

 

안티바이러스 프로그램과 해시 세트 형태로 현재 존재하는 악성코드 샘플 라이브러리는 매우 유용하지만, 이러한 자원은 결코 포괄적이지 않습니다. 개별 조사관은 알려진 샘플을 찾아 증거 샘플과 비교하고, 침해된 컴퓨터에서 발견된 파일의 특성에 주목하여 침입자가 사용한 도구를 결정해야 합니다. 또한, 악성코드 샘플 간의 분류학적 및 계통학적 관계에 대한 깊은 검토는 특정 샘플을 분류하고 특정 악성코드 "조직"에 속하는지 결정하는 데 중요할 수 있습니다.

 

악성코드 포렌식 적용

알려진 샘플이 디지털 증거와 유사하다고 판단되면, 그 샘플을 분류할 수 있습니다. 이 과정은 John Thornton이 "The General Assumptions and Rationale of Forensic Identification"에서 잘 설명한 바와 같습니다. 포렌식 과학자는 증거 항목을 검사하여 이전에 인증된 항목에서 추출된 특정 특성의 존재 또는 부재를 확인합니다.

 

악성코드의 출처

악성코드의 출처는 한 샘플을 다른 샘플과 구별할 수 있는 독특한 특성을 제공합니다. 특정 디지털 증거 샘플이 용의자의 컴퓨터에서 기원한 것으로 입증될 수 있다면, 이는 용의자를 범죄와 연결할 수 있는 충분한 증거가 될 수 있습니다.

 

포렌식 분석의 도전

악성코드 개발자들은 반포렌식 기술을 통해 포렌식 분석을 방해하기 위한 새로운 방법을 지속해서 찾고 있습니다. 예를 들어, 리눅스 악성코드에서 발견된 반포렌식 기술에는 다중 구성 요소, 조건부 및 난독화된 코드, 패킹 및 암호화, 디버거와 가상 환경의 탐지, ELF 파일 컴파일 과정에서 심볼릭 및 디버그 정보의 제거가 포함됩니다.