악성코드 은닉
•
Needle in a haystack(시스템폴더)
•
프로그램 바꿔치기
•
RootKit
◦
Hooking(IAT, EAT, IDT, SSDT, systemcall)
◦
DKOM(Direct kernel object manipulation)
◦
Injection(Code/DLL)
악성코드 판별
•
Process 상관 관계 상이
•
서머리 인포메이션 누락
•
코드 사이닝 정보 누락
•
의심스러운 문자열
•
위험한 API 사용 여부
•
은닉
•
온라인 서비스
•
샌드박스 기반 분석 보고서 활용
•
packing
◦
하이 엔트로피
◦
적은 API
◦
인식 가능한 문자열 x
◦
섹션의 이름이 일반적이지 않은 경우
◦
이미지 베이스가 디폴트가 아닌 경우
◦
엔트리 포인트가 일반적이지 않은 경우