Abstract
Non-installation program (hereinafter referred to as "portable program") is a program that can be used without an installation process, unlike general software. Since there is no separate installation process, portable programs have high mobility and are used in various ways. For example, when initial setup of multiple PCs is required, a portable program can be stored on one USB drive to perform initial setup. Alternatively, when a problem occurs with the PC and it is difficult to boot normally, Windows PE can be configured on the USB drive and portable programs can be stored for PC recovery. And the portable program does not directly affect PC settings, such as changing registry values, and does not leave a trace. This means that the portable program has high security. If a portable program is deleted after using it, it is difficult to analyze behavior in a general way. If a user used a portable program for malicious behavior, analysis in a general way has limitations in collecting evidence. Therefore, portable programs must have a new way of behavioral analysis that is different from ordinary installation software. In this paper, after installing the Windows 10 operating system on a virtual machine, we proceed with the scenario with a portable program of Opera and Notepad++. And we analyze this in various ways such as file analysis of the operating system and memory forensics, collect information such as program execution time and frequency, and conduct specific behavioral analysis of user.
무 설치 프로그램(이하 '포터블 프로그램'이라 한다.)은 일반적 소프트웨어와는 다르게 설치과정 없이 사용할 수 있는 프로그램이다. 별도의 설치 과정이 없기 때문에 포터블 프로그램은 높은 이동성을 가지며 다양하게 활용된다. 예를 들어, 다수의 PC의 초기 설정이 필요할 때 하나의 USB 드라이브에 다양한 포터블 프로그램을 저장하여 초기설정을 할 수 있다. 또는 PC에 문제가 발생하여 정상적인 부팅이 어려울 때 USB 드라이브에 Windows PE를 구성하고 저장된 포터블 프로그램으로 PC 복구에 사용될 수 있다. 그리고 포터블 프로그램은 레지스트리 값 변경 등 PC 설정에 직접적인 영향을 끼치지 않으며 흔적을 남기지 않는다. 이는 다시 말해, 포터블 프로그램이 높은 보안성을 가진다는 것을 의미한다. 포터블 프로그램을 사용 후 삭제하면 일반적인 방식으로의 행위분석에 어려움이 존재한다. 만약 사용자가 악성 행위에 포터블 프로그램을 사용하였다면 일반적인 방식으로의 분석으로는 증거 수집에 한계가 따른다. 따라서 포터블 프로그램은 일반적인 설치 소프트웨어와는 다른 새로운 방식의 행위분석이 이루어져야 한다. 본 논문에서는 가상머신 상에서 Windows 10 운영체제를 설치한 후 Opera, Notepad++의 포터블 프로그램으로 시나리오를 진행한다. 그리고 이를 운영체제의 파일분석, 메모리 포렌식 등의 다양한 방법으로 분석하여, 프로그램 실행시간, 횟수 등의 정보를 수집하고, 사용자의 구체적 행위분석을 실시한다.