17년 9월 정리

1.윈도우 자동시작 레지스트리

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

위 레지스트리를 이용해 부팅 시 악성코드가 자동실행되도록 설정할 수 있다.

svchost.exe 프로세스는 dll 파일을 실행시켜준다.

2.레지스트리

 - 레지스트리 정보는 하이브 파일로 기록되어 있고 이는 바이너리 파일이기 때문에 프로그램을 사용하여 확인할 수 있다.

 - 하이브 파일은 레지스트리의 정보를 저장하고 있다.

3.바이러스 종류

 원시형 바이러스

 - 프로세스 구조가 간단하고 분석이 쉽다.

 

암호화 바이러스 

 - 바이러스를 암호화 시킨다.

은폐형 바이러스 

 - 기억장치에 있으면서 감염된 파일의 길이가 증가하지 않는 것으로 보이게 한다.

 - 감염된 부분을 읽으면 감염되기 전의 내용을 보여주어서 은폐시킴. 

갑옷형 바이러스 

 - 암호화 및 다양한 기법 사용

메크로 바이러스 

 - 운영체제와 관계없이 응용 프로그램에서 동작하는 바이러스.

스크립트 악성코드

 - 목적 시스템에서 인터프리터 됨.

 - 브라우저에 포함된 인터프리터로 작동.

컴파일 악성코드 

 - 목적 시스템에서 첫 구동 시 실행파일이 만들어짐. 

 - 여러 차례 실행 시 속도가 빨라짐.

4.논리폭탄

 - 프로그램 환경변수들이 사전 정의된 값과 일치되면 악성행위를 수행.

5.visual basic script 악성코드

 - .vbs 확장자를 가진 파일을 압축해 이메일로 전파할 수 있다.

 - 의도적으로 이름을 길게 해 확장자명을 숨긴다.

6. GET flooding

 - 정상적인 3-way handshake 후 동일한 컨텐츠에 대한 get 요청을 대량으로 보냄으로  DDOS공격 실행.