동적분석은 격리된 환경에서 샘플을 실행하고 그 활동, 상호작용, 효과를 모니터링하는 분석을 포함한다.
동적 분석은 악성코드 샘플을 실행하므로 운영 환경이 감염되지 않도록 안전과 보안의 고려한 랩 환경이 필요하다.
시스템과 네트워크 모니터링
동적 분석은 악성코드를 실행한 후 다양한 모니터링 활동을 수행한다. 목표는 악성코드 행위와 시스템에 끼친 영향과 관련된 실시간 데이터를 수집하는 것이다.
동적 분석 동안 수행하는 여러 유형의 모니터링
- 프로세스 모니터링: 프로세스 활동을 모니터링하고 악성코드가 실행되는 동안 생성한 결과의 속성을 검사한다.
- 파일 시스템 모니터링: 악성코드가 실행되는 동안 파일 시스템을 실시간 모니터링한다.
- 레지스트리 모니터링: 접근/수정된 레지스트리 키와 악성코드 바이너리가 읽거나 작성한 레지스트리 데이터를 모니터링한다.
- 네트워크 모니터링: 악성코드가 실행되는 동안 시스템으로 유입되거나 외부로 나간 라이브 트래픽을 모니터링한다.
동적 분석 단계
동적 분석, 즉 행위 분석을 하는 동안 다음 일련의 단계를 수행해 악성코드의 기능을 확인한다.
동적 분석 단계
- 클린 샷으로 복원: 가상머신을 클린 상태로 복원하는 작업을 한다.
- 모니터링/동적 분석 도구 실행: 이 단계에서 악성코드 샘플을 실행하기 전에 모니터링 도구를 실행한다(관리자 권한으로 실행).
- 악성코드 샘플 실행: 이 단계에서 관리자 권한으로 악성코드 샘플을 실행한다.
- 모니터링 도구 종료: 악성코드 바이너리를 일정 시간 동안 실행한 후 종료한다.
- 결과 분석: 모니터링 도구에서 데이터/리포트를 수집하고 분석해 악성코드의 행위와 기능을 확인한다.