원도우 코드 디버깅을 하는 이유

악성코드 분석 튜토리얼: 링3 디버거

목차

• 1. 소개 및 동기
• 2. 악성코드 분석 이유
• 3. 실행 흐름 제어
• 4. 브레이크 포인트

1. 소개 및 동기

튜토리얼 원문 보기

블로깅을 시작하게 된 계기는 아는 형의 추천이었습니다. 하지만 수업 중, 그 형의 말이 인상 깊었습니다.

"지금까지 들었는데 하나도 모르겠어. 왜 디버깅을 하는지도 모르겠어."

저 역시 철학과에서 컴퓨터공학과로 전과하며 배움의 이유를 몰라 힘들었습니다. 이제는 악성코드를 분석하며 느낀 점을 공유하고자 합니다.

2. 악성코드 분석 이유

제가 생각하는 가장 큰 이유는 "다시 당하지 않기 위해서"입니다.

예를 들어, HWP 익스플로잇 악성코드가 있다면, 이를 분석해 공격자가 정보를 전송하는 C&C 주소를 파악하고 차단할 수 있어야 합니다.

요즘은 자동화 툴이 많지만, 직접 분석 능력은 여전히 중요합니다.

면접에서도 자동화 툴만 사용하는 사람보다 직접 디버깅한 사람이 더 좋은 평가를 받을 것입니다.

3. 실행 흐름 제어

디버깅 시 흔히 사용하는 기능들입니다:

• F7 (Step In): 함수 내부로 진입
• F8 (Step Over): 함수 전체 실행 후 다음 명령어에서 멈춤
• F9: 브레이크포인트까지 실행
• F2: 브레이크포인트 설정

관련 자료 보기

4. 브레이크 포인트

브레이크 포인트는 프로그램을 필요한 시점에서 일시정지 시키는 디버깅 기법입니다.

CPU의 실행을 멈춰 해당 지점에서 상태를 확인할 수 있게 합니다. 보통 어플리케이션 디버깅 시 활용됩니다.