윈 도 우 바이러스 파일을 테스트해보려는데
2014.12.02 06:42
요즘 들어 부쩍 여자이름으로 my iphone photo 란 제목으로 된 메일이 많이 오네요.
첨부된 exe 파일을 바이러스토털로 돌려보니깐 거의 대부분 바이러스로 잡더군요. 정황상 99.99%, 바이러스임은 분명한데,
실제 어떤 문제를 일으키는 파일인지 호기심이 나더군요. 저런 메일을 보낼땐 분명히 어떤 목적이 있겠죠.
막연하게 일반적인 바이러스에 대한 정의가 아니라,
실제 어떤 파일이, 어떻게 생성되고, 어떤 프로세스가 돌고, 어떤 입출력이 일어나고, 인터넷으로 어느곳에 접속한다든지.... 이런 구체적인 정보요..
지금 생각은, 가상머신을 새로 하나 만들어, 강력한 파이어월 설치하고, 프로세스/서비스 관련 유틸 설치하고 흐름을 관찰해보는것인데요,
가상머신에선 테스트 하는건 안전하겠죠? 테스트하고 가상머신 삭제해버리면 그만이니깐...
1.안전할까요?
2.비슷한 파일, 이미 테스트하신분 계세요? 그렇다면 구체적으로 알려주실수 있나요?
댓글 [4]
-
DarknessAngel 2014.12.02 07:54
-
5tpiPX4sA6Xk 2014.12.02 08:08
백신회사에서도 바이러스 분석할 땐 가상머신을 씁니다.
네트워크 기능을 차단한 상태로 먼저 테스트를 해 보셔야 될 겁니다.
아직 가상머신을 뚫는 익스플로잇은 본적이 없으니 큰 문제 없을겁니다.
관찰하고 나서 가상머신 자체를 삭제할 필요까진 없죠. 정상 상태에서 스냅샷 찍어두고
바이러스 동작 관찰하고 난 뒤 스냅샷 기능으로 원래대로 되돌리면 끝.
그리고 네트워크 기능을 켜서 인터넷 동작을 관찰할 때는 주의를 하셔야 합니다.
호스트 윈도우 보안패치가 안되어 있는 경우 내부네트워크를 타고 호스트OS 까지 들어오지 말란법도 없으니까요....
전문적인 바이러스 분석가들은 디버거와 디스어셈블러를 가지고 코드분석과
바이러스 프로세스 통제를 병행하는 경우도 있고,
'인터넷'까지 가상으로 만들어서(DNS와 게이트웨이를 가짜로 구성함) 동작을 분석하기도 합니다.
-
DarknessAngel 2014.12.02 18:53
저것때문에 호스트OS를 해당 바이러스가 작동할 수 없는 OS로 하기를 추천하는겁니다 (불가피한 경우 가상머신에서 다시 가상머신 구동)
최저한도로 윈도용 바이러스가 호스트OS가 윈도 아닌데도 감염시킬리는 없으니까요 (...)
일단 저런 작업할때는 가상에 확장도구를 안 깔고, 공유폴더등 다 제거해서 전송될 가능성을 최대한 막은다음 하기를 추천합니다
전에 저런 작업 몇번 시도해본적 있는 경험상 안전을 위해서 추천하는겁니다 (원칙적으로는 물리적으로 독립된 테스트용 머신에서 네트워크에 다른 머신이 없도록 독립된 사설 네트워크 하나 만든후에 하기를 추천하고싶지만, 이게 불가피하다면 최저한도는 해야 안전합니다)
-
CT 2014.12.03 08:00
답변 주신 두분 감사합니다. 많은 참고가 되었습니다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 53213 | 윈 도 우| 윈도우 업데이트 메세지가 계속 뜨네요 [1] | redforce85 | 1270 | 12-05 |
| 53212 | 소프트웨어| irc 명령어 잘 아시는분께.. [2] | 도라란 | 1008 | 12-05 |
| 53211 | 하드웨어| 컴터 잘 아시는분.. 하드웨어 고수분 도움 구합니다 [6] | 세이영짱 | 1582 | 12-05 |
| 53210 | 소프트웨어| 파이어폭스 보안경고 메시지 안나오게 하는 방법? [1] | 레일건 | 1855 | 12-05 |
| 53209 | 윈 도 우| 기존에 윈도8.1설치된 이미지를 ssd레이드 0으로 해서 복원... [3] | 험험험 | 1091 | 12-05 |
| 53208 | 모 바 일| apk를 친구폰으로 전송하고 싶은데 방법좀-안드로이드 [10] | stormos | 2276 | 12-05 |
| 53207 | 소프트웨어| 파이어폭스 포터블에서 플래시 사용하기? [7] | ton3d | 1392 | 12-05 |
| 53206 | 윈 도 우| 윈도우7인터넷 끊김관련 질문좀 드립니다. [15] | 도전인가 | 1596 | 12-05 |
| 53205 | 기 타| 이런질문 해도 되는지 잘 모르겠습니다. | 제스트 | 1230 | 12-05 |
| 53204 | 윈 도 우| 작업표시줄 미리보기 안되네요 [6] | sum | 1158 | 12-05 |
| 53203 | 하드웨어| 넷북 장시간사용안하다가 전원이 안켜지면..mb문제일까요? [1] | 빨간미소 | 1256 | 12-05 |
| 53202 | 윈 도 우| WIM파일 질문입니다. [8] | 강글레리 | 1117 | 12-05 |
| 53201 | 윈 도 우| 윈도우 8.1 시스템 보호 디스크 차지 [1] | 그뉴비 | 1173 | 12-05 |
| 53200 | 윈 도 우| 윈도우8 or 8.1은 무조건 GPT로 설치해야 합니까? [4] | 야인 | 1734 | 12-05 |
| 53199 | 윈 도 우| PE로 레지스트리 변경 [2] | kuky1006 | 1959 | 12-05 |
| 53198 | 윈 도 우| 윈도우10 은 PC용 모바일용 따로 나온다고 했던가요? [4] | 잇힝이 | 1181 | 12-05 |
| 53197 | 윈 도 우| Windows Defender 에서 KMSpico에 잠재적 위협이 있다고 몇... [2] | 소라카나 | 2901 | 12-04 |
| 53196 | 소프트웨어| MS 오피스 2013 홈 앤 스튜덴트 인증 문제 질문합니다. | ITanomaler | 1534 | 12-04 |
| 53195 | 윈 도 우| 윈도7 썸네일 XP형식으로 보기, 작업표시줄 정렬 해제 [3] | 큐팁 | 1332 | 12-04 |
| 53194 | 윈 도 우| 윈도우8.1 중요업뎃이후에 template.xml 오류.. [1] | cuzis | 1114 | 12-04 |
일단 안전하게 할려면 호스트가 윈도인경우 문제되는 경우가 있으므로 exe를 실행할 수 없는 타입의 OS에서 가상머신을 돌려서 작업해주세요