728x90
반응형
가상 시스템 중 가장 많이 사용되는 프로그램이 VMWare 이다.
http://www.vmware.com
마이크로소프트사에서 인수하여 현재 무료로 사용할 수 있는 Virtual PC 도 있다.
http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx
하지만, 가상 시스템을 이용한 분석에는 다음과 같은 문제가 있다.
1. 가상 환경에서 프로그램이 실행 안될 수 있다.
일반적인 프로그램이라면 상관없지만 일부 패커는 가상 환경에서는 오동작 할 수 있다.
2. 가상 환경에서 악성코드가 제대로 실행되지 않을 수 있다.
최근에 악성코드는 가상환경을 인식해 가상 환경에서는 오동작하거나 실행되지 않는 경우가 있다.
악성코드 제작자들도 바보는 아니다.
3. 디버거가 제대로 실행되지 않을 수 있다.
다 실행되어도 디버거가 실행 안될 수 있다.
예를들어 VMWare 에 윈도우 98을 설치하고 디버거인 TRW 를 사용하면 디버깅이 안된다.
이런 사항을 알고 가상 시스템을 이용하면되지만 가장 좋은건 가상 시스템 보다 테스트 PC 를 준비하는 것이다.
http://www.vmware.com
마이크로소프트사에서 인수하여 현재 무료로 사용할 수 있는 Virtual PC 도 있다.
http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx
하지만, 가상 시스템을 이용한 분석에는 다음과 같은 문제가 있다.
1. 가상 환경에서 프로그램이 실행 안될 수 있다.
일반적인 프로그램이라면 상관없지만 일부 패커는 가상 환경에서는 오동작 할 수 있다.
2. 가상 환경에서 악성코드가 제대로 실행되지 않을 수 있다.
최근에 악성코드는 가상환경을 인식해 가상 환경에서는 오동작하거나 실행되지 않는 경우가 있다.
악성코드 제작자들도 바보는 아니다.
3. 디버거가 제대로 실행되지 않을 수 있다.
다 실행되어도 디버거가 실행 안될 수 있다.
예를들어 VMWare 에 윈도우 98을 설치하고 디버거인 TRW 를 사용하면 디버깅이 안된다.
이런 사항을 알고 가상 시스템을 이용하면되지만 가장 좋은건 가상 시스템 보다 테스트 PC 를 준비하는 것이다.
728x90
반응형
'Reverse Engineering > 분석도구' 카테고리의 다른 글
| 디버거(Debugger) : Immunity Debugger (0) | 2007.11.16 |
|---|---|
| OllyBonE - 상당수 패커를 풀어주는 OllyDbg 플로그인 (2) | 2007.08.22 |
| Debugger - OllyDbg 1.1 (0) | 2007.03.13 |
| Folder Security Personal - 폴더 보호 (0) | 2007.03.12 |
| [도구] Rootkit Hook Analyzer (0) | 2007.01.29 |