악성코드 유사성 비교 방법

인증된 정상 파일(rundll32.exe, windows update.exe, ...)과 비교해서 악성코드인지 아닌지 확인이 필요할 경우 악성 행위를 하는 부분만 빠르게 찾아낼 수 있음 예) user32.dll 정상 파일과 비교 중인 악성코드의 함수가 1개 빼고 모두 같을 경우 해당 함수가 악성이라고 빠르게 판단 가능 기분석된 악성코드와 비교하여 얼마나 비슷한지 확인이 필요한 경우 기분석된 내용은 재분석할 필요가 없음 예) xmrig.exe 정상 파일과 비교중인 악성코드가 95% 이상 유사할 경우 Mining 코드에 대한 함수 분석은 필요 없음 악성코드 분류가 안될 경우(어떤 악성코드인지 잘 모를 경우) 특정 악성코드로 분류된 다른 악성코드와 비교해 유사한 경우, 분석 중인 악성코드를 특정 악성코드로 분류한 후 분석 방향을 잡을 수 있음 예) Nanocore Rat 악성코드로 알려진 비교군1과 현재 분석중인 비교군2를 비교해 유사성이 높으면 Nanocore RAT 악성코드로 생각하고...