가상 머신 격리 + 해시 기록 + 인가 범위 준수 + 실행 환경 기록 + 플랫폼별 도구 선택
수업과 개인 학습에서 게임 환경의 핵툴 샘플을 분석하는 기초 실습을 해봤습니다. 격리 측면에서는 분석 환경을 항상 가상 머신이나 샌드박스로 격리해야 한다는 걸 가장 먼저 배웠습니다. 증거 보존 측면에서는 분석 전에 원본 샘플의 해시값을 기록해두는 것이 이후 분석 결과의 무결성을 증명하는 기반이 된다는 걸 배웠습니다. 법적 한계 측면에서는 인가된 범위 내에서만 분석하는 원칙이 중요한데, 허가 없이 다른 시스템에 실행하는 것은 범위를 넘는다는 걸 이해했습니다. 재현 측면에서는 분석한 동작이 특정 조건에서만 발생하는 경우를 놓치지 않으려면 실행 환경을 기록해두는 것이 중요하다는 걸 배웠습니다. PC와 모바일 환경은 바이너리 구조와 API 레이어가 달라서 분석 도구도 플랫폼에 맞게 선택해야 한다는 걸 학습했습니다.
핵툴 분석에서 가장 중요한 건 범위를 벗어나지 않는 것과 환경을 오염시키지 않는 것이라는 걸 그때 배웠습니다.