윈 도 우 바이러스 파일을 테스트해보려는데
2014.12.02 06:42
요즘 들어 부쩍 여자이름으로 my iphone photo 란 제목으로 된 메일이 많이 오네요.
첨부된 exe 파일을 바이러스토털로 돌려보니깐 거의 대부분 바이러스로 잡더군요. 정황상 99.99%, 바이러스임은 분명한데,
실제 어떤 문제를 일으키는 파일인지 호기심이 나더군요. 저런 메일을 보낼땐 분명히 어떤 목적이 있겠죠.
막연하게 일반적인 바이러스에 대한 정의가 아니라,
실제 어떤 파일이, 어떻게 생성되고, 어떤 프로세스가 돌고, 어떤 입출력이 일어나고, 인터넷으로 어느곳에 접속한다든지.... 이런 구체적인 정보요..
지금 생각은, 가상머신을 새로 하나 만들어, 강력한 파이어월 설치하고, 프로세스/서비스 관련 유틸 설치하고 흐름을 관찰해보는것인데요,
가상머신에선 테스트 하는건 안전하겠죠? 테스트하고 가상머신 삭제해버리면 그만이니깐...
1.안전할까요?
2.비슷한 파일, 이미 테스트하신분 계세요? 그렇다면 구체적으로 알려주실수 있나요?
댓글 [4]
-
DarknessAngel 2014.12.02 07:54
-
5tpiPX4sA6Xk 2014.12.02 08:08
백신회사에서도 바이러스 분석할 땐 가상머신을 씁니다.
네트워크 기능을 차단한 상태로 먼저 테스트를 해 보셔야 될 겁니다.
아직 가상머신을 뚫는 익스플로잇은 본적이 없으니 큰 문제 없을겁니다.
관찰하고 나서 가상머신 자체를 삭제할 필요까진 없죠. 정상 상태에서 스냅샷 찍어두고
바이러스 동작 관찰하고 난 뒤 스냅샷 기능으로 원래대로 되돌리면 끝.
그리고 네트워크 기능을 켜서 인터넷 동작을 관찰할 때는 주의를 하셔야 합니다.
호스트 윈도우 보안패치가 안되어 있는 경우 내부네트워크를 타고 호스트OS 까지 들어오지 말란법도 없으니까요....
전문적인 바이러스 분석가들은 디버거와 디스어셈블러를 가지고 코드분석과
바이러스 프로세스 통제를 병행하는 경우도 있고,
'인터넷'까지 가상으로 만들어서(DNS와 게이트웨이를 가짜로 구성함) 동작을 분석하기도 합니다.
-
DarknessAngel 2014.12.02 18:53
저것때문에 호스트OS를 해당 바이러스가 작동할 수 없는 OS로 하기를 추천하는겁니다 (불가피한 경우 가상머신에서 다시 가상머신 구동)
최저한도로 윈도용 바이러스가 호스트OS가 윈도 아닌데도 감염시킬리는 없으니까요 (...)
일단 저런 작업할때는 가상에 확장도구를 안 깔고, 공유폴더등 다 제거해서 전송될 가능성을 최대한 막은다음 하기를 추천합니다
전에 저런 작업 몇번 시도해본적 있는 경험상 안전을 위해서 추천하는겁니다 (원칙적으로는 물리적으로 독립된 테스트용 머신에서 네트워크에 다른 머신이 없도록 독립된 사설 네트워크 하나 만든후에 하기를 추천하고싶지만, 이게 불가피하다면 최저한도는 해야 안전합니다)
-
CT 2014.12.03 08:00
답변 주신 두분 감사합니다. 많은 참고가 되었습니다.
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
53162 | 소프트웨어| 오토캐드 2008 설치 문의 [3] | 하회탈 | 8073 | 12-03 |
53161 | 윈 도 우| 윈도우 8.1 쓰는데 윈도우 업데이트 삭제가 안되요 [2] | 낄낄맨 | 1594 | 12-03 |
53160 | 기 타| 안드로이드폰 백업하려는데, [3] | CT | 1344 | 12-03 |
53159 | 윈 도 우| 3TB 하드디스크 인식문제. [6] | gtxkim | 2301 | 12-03 |
53158 | 하드웨어| 캐드용 노트북 사양 및 추천 부탁드립니다. [9] | sinabro | 2583 | 12-03 |
53157 | 윈 도 우| acer es1-511 트루이미지 복제 문의드립니다. | 베라요 | 1427 | 12-03 |
53156 | 소프트웨어| 혹시 backupper tech 2.1 | 임달화 | 1082 | 12-03 |
53155 | 윈 도 우| 8.1 업데이트 창 [3] | 알미뜽 | 1404 | 12-02 |
53154 | 윈 도 우| none supported 현상 [2] | 서정오코 | 1484 | 12-02 |
53153 | 윈 도 우| wim_pe 바탕화면 변경 , [4] | @LostED | 2149 | 12-02 |
53152 | 하드웨어| 요즘 외장하드 속도는 제일 빠른게 얼마 정도인가요? [6] | ton3d | 1692 | 12-02 |
53151 | 소프트웨어| 다운받으려는 사이트가 막혀버립니다 [2] | 바람따라서 | 1341 | 12-02 |
53150 | 기 타| Windows 8.1 부트로고 변경 문의 [18] | KyleM | 2128 | 12-02 |
53149 | 기 타| 네트워크 공유시 제 파일 다운로드 중인지 확인 문의 [2] | asesina | 1200 | 12-02 |
53148 | 서버 / IT| 이 사이트만 접속이 안되는데, 한번 봐주십시오~ [8] | brucex | 2140 | 12-02 |
53147 | 윈 도 우| Hyper-v 에 windows 10 TP 설치가 안되네요.. [3] | 주주주 | 1286 | 12-02 |
53146 | 소프트웨어| 트루이미지 ISO 파일 구울때 따로 하는 방법이 있나요? [2] | 귀족 | 1181 | 12-02 |
53145 | 모 바 일| 바이두 가입절차 및 방법 [5] | 오랜길 | 4159 | 12-02 |
» | 윈 도 우| 바이러스 파일을 테스트해보려는데 [4] | CT | 1143 | 12-02 |
53143 | 윈 도 우| 여러번올라온질문이지만 만능고스트파일로 윈도우 재설치어... [5] | 윈도우8.1 | 3734 | 12-02 |
일단 안전하게 할려면 호스트가 윈도인경우 문제되는 경우가 있으므로 exe를 실행할 수 없는 타입의 OS에서 가상머신을 돌려서 작업해주세요