KISA 악성코드 분석 강의
1. 섹션의 엔트로피 분석- 패킹되었거나 암호화된 영역이 있는 실행파일은 악성코드일 가능성이 상대적으로 높음- 각 세션마다 엔트로피를 조사하여 7 이상인 경우 패킹 및 암호화된 것으로 판단* 각 세션의 엔트로피 값을 계산할 수 있는 도구들(PEScanner, PE Studio 등)을 사용하여 확인 가능2. 엔트리 포인트 분석- 일반적인 실행 파일의 경우 엔트리 포인트가 첫번째 섹션에 속하며, 해당 섹션은 ".text", ".code" 등의 이름을 가짐- 엔트리포인트가 첫번쨰 섹션( ".text", ".code" )에 속하지 않는 경우 악성일 가능성이 높음* PE 파일을 파싱할 수 있는 도구들(StudPe, CFF Explorer, PE_View, IDA 등)을 사용하여 확인 가능3. CRC Checksu..