악성코드 샘플 분석 환경 구축
가상 환경을 구성하는 이유
- 해당 파일 분석을 할 때 해당 파일이 예기치 못하게 실행 될 수 있습니다. 만약 해당 파일이 악성 파일일 경우 대처하기 까다롭기 때문에 가상 환경을 구축하여 샘플 분석을 진행합니다.
- 가상 머신의 Snapshot 기능을 활용한 원활한 분석이 가능합니다.
VMware 가상 환경 구축
VMware workstation Pro 17 버전을 사용하였습니다.
VMware 를 설치한 후 Create a New Virtual Machine 을 클릭하게 되면 우측과 같은 화면이 진행됩니다.
Typical 또는 Custom 이 있는데 필자의 경우 기본적인 Typical 을 선택해 설치를 진행하였습니다.
위 사진의 경우 Typical 또는 Custom 을 선택 한 후 다음 버튼을 눌러 진행하게 되면 나오는 화면입니다.
해당 화면의 경우 운영체제를 설치를 어떻게 할 것인가 묻는 화면입니다.
제가 진행 한 경우는 3 가지 탭 중 2 번째 탭을 체크 해 운영체제가 있는 경로를 입력해 해당 iso 파일을 삽입하여 진행
하였습니다.
위 2가지 사진은 운영체제 iso 파일을 삽입한 후 다음 버튼을 누르게 되면 나오는 화면 입니다.
해당 좌측 화면의 경우 Easy Install Information 이라 해서 미리 해당 운영체제에 대한 정보를 받아와서 나중에 운영체제 설치 과정에서 조금 덜 번거롭게 하는 과정 입니다.
지금 하지 않아도 되기 때문에 아무것도 입력하지 않고 Next 를 클릭하여 우측 화면으로 넘어가겠습니다.
다음 우측 화면의 경우 가상 머신을 저장할 경로를 입력하는 단계 입니다.
해당 가상 머신 저장 경로의 경우 읽기 쓰기가 빠른 디스크에 저장을 하게 될 경우 속도가 조금더 빠르다고 합니다.
하지만 저의 경우는 기본적으로 설정이 되어있는 곳에 저장을 하고 Next 를 눌러 다음 단계로 넘어 갔습니다.
다음 위 사진의 경우는 가상 머신 저장 경로 설정 후 Next 버튼을 클릭해 넘어오게 된 화면입니다.
해당 사진의 경우 가상 머신의 하드웨어 중 HDD 설정을 하는 화면입니다.
기본 설정으로 60 GB 가 설정이 되어 있습니다.
윈도우 10 이상 부터는 60 GB 이상이 필수적으로 설정이 되어야 합니다.
그 이하의 버전의 경우는 자신의 컴퓨터 사양에 맞게 설정을 하면 될 것으로 보여집니다.
다음 아래 메뉴 중 Store virtual disk as a single file 또는 Split virtual disk into multiple files 를 체크 할 수 있는 체크 박스가 있습니다.
Store virtual disk as a single file 의 경우가 속도가 더 빠르다고 하기 때문에 해당 옵션을 선택하고 다음 페이지로 넘어가겠습니다.
다음 Next 를 눌러 넘어 오게 될 경우 위 사진 처럼 하드웨어 설정을 커스텀 할 수 있는 창이 나오게 됩니다.
Customize Hardware ... 박스를 눌러 커스텀 할 수 있습니다.
자신의 컴퓨터 성능에 따라 CPU core 갯수 RAM 용량 등등 을 설정 한 후 Finish 를 눌러 가상 머신 설정을 마무리 하면 되겠습니다.
다음으로 Windows 7 설치 입니다.
그 전 가상 머신 기본 설정들을 마치게 될 경우 위 사진처럼 운영체제 설치 화면으로 넘어가게 됩니다.
저 같은 경우에는 Windows 7 iso 를 삽입 하였기 때문에 해당 화면을 확인할 수 있고 Windows 7 Professional K 를 설치를 할 것 이기에 클릭후 다음 버튼을 눌러 진행하도록 하겠습니다.
원하는 버전을 선택한 후 다음 버튼을 누르게 되면 위 사진처럼 Windows 7 설치가 자동으로 진행되는 것을 확인할 수 있습니다.
Windows 7 설치가 자동으로 마무리가 된다면 위 사진과 같은 화면을 만나볼 수 있을 것 입니다.
위 화면의 경우는 해당 PC 이름을 설정하고 제품 키 입력을 통해 정품 인증을 하는 단계 입니다.
저 단계에서 꼭 시리얼 키를 입력할 필요가 없기 때문에 건너뛰기를 통해 넘어가면 되겠습니다.
제품 키 건너뛰기를 통해 넘어오게 되면 마지막 단계인 컴퓨터 자동 보호 및 Windows 향상 메뉴를 확인할 수 있습니다.
저의 경우는 '나중에 다시 확인'을 클릭해 Windows 설치를 마무리 하였습니다.
위 단계들을 모두 마무리 하게 된다면 해당 화면과 같이 Windows 7 설치가 완료된 것을 확인 할 수 있습니다.
다음으로 네트워크를 확인 해보도록 하겠습니다.
좌측 하단 Windows 이미지를 클릭 후 제어판 -> 네트워크 및 인터넷 -> 네트워크 및 공유 센터
메뉴를 들어오게 되면 보이는 화면입니다.
별다른 설정없이 네트워크가 문제 없는 것을 확인 할 수 있습니다.
네트워크 설정의 경우는 아무런 설정을 따로 하지 않았다면 자동으로 NAT 환경으로 구성이 되어있기 때문에
별도의 설정없이 네트워크가 문제없이 연결이 되는 것을 확인할 수 있습니다.
다음으로 위 사진의 경우는 악성 코드 분석 툴 설치 후 모습입니다.
해당 툴들을 설치 후 위 상태를 저장하기 위해 Snapshot을 남기도록 하겠습니다.
위 사진의 경우는 스냅샷을 생성하고 저장하는 방법 입니다.
악성 코드 분석을 할 경우 해당 가상 머신의 레지스트리, 파일 등이 변경이 되기 때문에 악성 파일을 실행하기 전 상태로 되돌리기 위해 ' 스냅샷 ' 이라는 기능을 사용을 합니다.
스냅샷 기능의 경우 Vmware 의 VM 탭을 통해 Snapshot -> Take SnapShot 을 클릭해 해당 시점을 저장 할 수 있습니다.
Take Snapshot 을 클릭하게 될 경우 위 화면과 같은 것이 뜨는데 Name 에 해당 시점을 알아 볼 수 있을만한 이름 설정
Description 에는 해당 스냅샷에 대한 설명을 적은 후 Take Snapshot 을 클릭 하게 되면 해당 시점의 스냅샷 생성이 완료 됩니다.
그 후 언제든지 해당 스냅샷 촬영 시점으로 돌리고 싶을 경우 VMware 의 VM 탭 -> Snapshot -> 원하는 시점을 클릭하게 되면 언제든지 해당 시점으로 돌아갈 수 있습니다.
'보안 관제 관련 > 악성코드 분석 도구' 카테고리의 다른 글
| Autoruns 기능 및 사용법 ( 파일 및 레지스트리 관련 툴 ) (0) | 2022.12.14 |
|---|---|
| 프로세스 분석 툴 기능 및 사용법 ( Process Explorer, Process Monitor, System Explorer ) (0) | 2022.12.14 |
| PEView 의 기능 및 사용법, 활용 방법 (0) | 2022.12.10 |
| 파일에 포함된 문자열 확인 툴 ( BinText, Strings ) 기능 및 사용법 (0) | 2022.12.10 |
| 정적 분석 Tool ( Exeinfo PE, PEiD ) 기능 및 사용 (0) | 2022.12.10 |
