표제지
국문초록
목차
제1장 서론 9
제1절 연구의 배경 9
제2절 연구의 목적 11
제2장 악성코드 정보 수집 12
제1절 디지털 포렌식 분석 도구 12
1. 시스템 기본 정보 12
2. 네트워크 정보 12
3. 스니퍼 실행여부 13
4. 네트워크 연결 정보 14
5. 네트워크 상세연결 정보 14
6. 개방된 포트 정보 15
7. 실행중인 프로세서 정보 15
8. 메모리 사용량 정보 16
9. 프로토콜 정보 16
10. 윈도우 자동실행 정보 17
11. 핸들정보 17
12. 인젝션된 DLL 정보 18
13. 윈도우 실행파일 정보 18
제2절 분석 도구 스크립트 19
1. 디지털 포렌식 도구 스크립트 제작 19
2. 디지털 포렌식 도구 스크립트 실행 20
제3절 디지털 포렌식 도구 활용의 중요성 21
제3장 악성코드 분석 사례 22
제1절 악성코드 분석 환경 22
1. 악성코드 분석 절차 22
2. 시스템 구성 22
제2절 게임계정형 악성코드 24
1. 침입탐지시스템 탐지 24
2. 악성코드 유포지에서의 파일 채증 25
3. 피해PC에서의 악성코드 채증 25
4. 악성코드 상세 분석 26
5. 분석 결과 31
제3절 원격제어형 악성코드 32
1. 침입탐지시스템 탐지 32
2. 피해PC에서의 악성코드 채증 33
3. 악성코드 상세 분석 34
4. 분석 결과 38
제4장 결론 39
참고문헌 41
ABSTRACT 42
[표 1-1] 2010년 민간부문 웜·바이러스 신고건수 10
[그림 1-1] 2010년 월별 민간부분 웜·바이러스 신고건수 10
[그림 2-1] systeminfo 실행 결과 12
[그림 2-2] ipconfig /all 실행 결과 13
[그림 2-3] promiscdetect 실행 결과 13
[그림 2-4] netstat-nao 실행 결과 14
[그림 2-5] openports 실행 결과 14
[그림 2-6] fport 실행 결과 15
[그림 2-7] Listdlls 실행 결과 15
[그림 2-8] tasklist 실행 결과 16
[그림 2-9] URLRotocolView 실행 결과 16
[그림 2-10] Autoruns 실행 결과 17
[그림 2-11] handle 실행 결과 17
[그림 2-12] iddc 실행 결과 18
[그림 2-13] md5 실행 결과 18
[그림 2-14] 자동화된 분석 도구 스크립트 19
[그림 2-15] 디지털 포렌식 도구 스크립트 실행 20
[그림 2-16] 디지털 포렌식 도구 스크립트 결과값 20
[그림 3-1] 침임탐지시스템에서의 탐지 로그 24
[그림 3-2] 와이어샤크에서의 패킷 로그 분석 24
[그림 3-3] 시작 레지스트리에 삽입된 악성코드 25
[그림 3-4] 프로세스에 인젝션된 악성코드 25
[그림 3-5] system32 디렉토리내의 악성코드 26
[그림 3-6] 악성코드의 등록정보 26
[그림 3-7] 악성코드 소스 분석 28
[그림 3-8] 침임탐지시스템에서의 탐지 로그 32
[그림 3-9] 와이어샤크에서의 패킷 로그 분석 32
[그림 3-10] svchost 프로세스에 인젝션된 악성코드 33
[그림 3-11] 인젝션된 DLL 정보 33
[그림 3-12] 파일 등록정보 확인 34
[그림 3-13] 복호화에 따른 공격자의 주소 확인 34
[그림 3-14] 복호화에 따른 공격자의 서버 주소 존재 35
[그림 3-15] 해당 공격자 서버 주소로 접속 시도 35
[그림 3-16] 패킷 압축(암호화) 로직 35
[그림 3-17] 첫 번째 발송 패킷 36
[그림 3-18] 두 번째 발송 패킷 36
[그림 3-19] 원격제어 함수의 반복 호출 37