정적 분석과 동적 분석이란?

1 정적 분석이란?

 

악성코드 분석 시 가장 먼저 진행되는 부분으로 악성코드 연구의 시작 단계라고 할 수 있다. 프로그램의 기능을 파악하고 코드나 프로그램의 구조를 분석하는 단계로 악성코드를 실제로 실행해보지 않고 분석하는 방법이다. 대부분의 경우 원시 코드의 형태를 가지고 분석을 수행하지만 목적 코드의 형태를 가지고 분석하는 경우도 있다. 예를 들어 악성 여부를 판단하는 안티 바이러스 도구를 사용하거나 판별 해시를 사용하는 방법, 파일의 문자열, 함수, 헤더에서 개략적인 분석을 진행하는 것을 의미한다.

또한 기초 정적 분석과 고급 정적 분석으로 나뉘어 볼 수 있는데 이에 따라 파일이 가진 특성을 파악하여 ‘어떤 식으로 동작할 것이다’라는 유추를 하고 패킹 여부를 확인하는 것이라면, IDA라는 툴을 사용, 디스어셈블하여 세부적인 동작을 분석 하는 것이 고급 정적 분석이라고 볼 수 있다.

 

 

2 동적 분석이란?

 

악성코드를 직접 실행하여 분석하는 방법으로 가장 쉽게 프로그램을 파악 할 수 있다. 프로그램의 기능을 파악하기 위해 악성코드의 실행 전후 상태를 조사하여 분석한다. 악성코드의 실습 시 발생하는 호스트/네트워크 환경의 구성을 하며 파일, 프로그램 실행, 레지스트리, 서비스 등 관련 항목 변경 사항과 실행 시 발생하는 네트워크 트래픽을 분석한다.