간편하게 파일 분석이 가능한 프로그램을 살펴 보자. 올리디버거를 이용한 파일 분석 방법은 책 한권 분량이 나올 만큼 양이 방대하다. 이미 올리디버거를 이용해 정적으로 악성코드나 파일을 분석하는 좋은 책들이 많이 있기 때문에 관련 내용을 참고하기 바랍니다.
침해사고분석 과정에서 악성코드로 의심되는 파일이 확보되면 해당 파일의 기능 분석을 수행한다. 수집된 악성코드를 별도의 분석 시스템으로 옮겨와서 분석할 수 있지만 경우에 따라서는 부득이 분석 대상 시스템에서 악성코드 분석을 수행하기도 한다. 시스템에 영향을 최소화 하고 악성코드로 의심되는 파일을 분석하는데 많이 사용되는 분석도구가 PEiD이다.
PEiD 프로그램은 정적으로 파일을 분석하는데 사용되고 실행파일의 API, 문자열 정보, 실행압축정보 등을 확인하는데 사용한다. 대표적인 기능과 함께 실제 PE헤더 파일을 분석해보자.
악성코드 샘플을 분석하는 것도 의미가 있지만 샘플을 구하기 어려운 경우 윈도우 시스템에 “cmd.exe” 파일을 분석해보는 것으로도 기능 파악에 도움이 된다.
분석할 PE파일을 불러 온다.
문자열 검색
파일 디버깅을 통해서 파일에 포함된 식별 가능한 문자열 검색을 수행할 수 있다.
일부 악성코드의 경우 하드코딩 형식으로 마스터 서버에 접속할 IP정보를 PE파일안에 넣어 두기도 한다. 이 경우 악성코드가 어떤 IP로 접속하는지 혹은 어떤 프로그램인지 확인할 수 있다.
API 확인
실행 파일에서 사용되는 API를 통해서 대략적인 프로그램이 수행하는 행위에 대해 추측이 가능하다. 정확한 분석을 위해서는 디버깅 프로그램을 이용해 분석이 필요하겠지만, API를 확인하는 것으로 침해사고 분석에 필요한 정보를 확보할 수 있다.
PEiD는 현재는 업데이트가 중단되었다. 대체 도구는 아래 사이트를 참고해 필요한 목적에 맞게 사용할 수 있다.
| 도구 이름 | 특징 | 장점 | 플랫폼 |
| Detect It Easy (DIE) | PEiD의 최신 대안, GUI 제공 | 다양한 포맷 지원 (PE, ELF, Mach-O 등), 스크립팅 가능, 지속적인 업데이트 | Windows, Linux, macOS |
| Exeinfo PE | PE 파일 분석 및 패커 탐지 | 정확한 패커 탐지율, 아이콘/리소스 분석, 내부 오프셋 표시 | Windows |
| RDG Packer Detector | 패커, 크립터, 프로텍터 탐지 | 광범위한 패커 DB, 다양한 탐지 옵션 | Windows |
| CFF Explorer | PE 파일 편집/분석 | PE 헤더 편집 가능, 다양한 플러그인 지원 | Windows |
| PEStudio | 정적 분석 도구 | 디지털 서명, API 호출, 의심 정보 자동 표시 | Windows |
| PackerID | 명령줄 기반 분석 도구 | 스크립팅 자동화에 유리 | Windows, Linux |