윈 도 우 바이러스 파일을 테스트해보려는데
2014.12.02 06:42
요즘 들어 부쩍 여자이름으로 my iphone photo 란 제목으로 된 메일이 많이 오네요.
첨부된 exe 파일을 바이러스토털로 돌려보니깐 거의 대부분 바이러스로 잡더군요. 정황상 99.99%, 바이러스임은 분명한데,
실제 어떤 문제를 일으키는 파일인지 호기심이 나더군요. 저런 메일을 보낼땐 분명히 어떤 목적이 있겠죠.
막연하게 일반적인 바이러스에 대한 정의가 아니라,
실제 어떤 파일이, 어떻게 생성되고, 어떤 프로세스가 돌고, 어떤 입출력이 일어나고, 인터넷으로 어느곳에 접속한다든지.... 이런 구체적인 정보요..
지금 생각은, 가상머신을 새로 하나 만들어, 강력한 파이어월 설치하고, 프로세스/서비스 관련 유틸 설치하고 흐름을 관찰해보는것인데요,
가상머신에선 테스트 하는건 안전하겠죠? 테스트하고 가상머신 삭제해버리면 그만이니깐...
1.안전할까요?
2.비슷한 파일, 이미 테스트하신분 계세요? 그렇다면 구체적으로 알려주실수 있나요?
댓글 [4]
-
DarknessAngel 2014.12.02 07:54
-
5tpiPX4sA6Xk 2014.12.02 08:08
백신회사에서도 바이러스 분석할 땐 가상머신을 씁니다.
네트워크 기능을 차단한 상태로 먼저 테스트를 해 보셔야 될 겁니다.
아직 가상머신을 뚫는 익스플로잇은 본적이 없으니 큰 문제 없을겁니다.
관찰하고 나서 가상머신 자체를 삭제할 필요까진 없죠. 정상 상태에서 스냅샷 찍어두고
바이러스 동작 관찰하고 난 뒤 스냅샷 기능으로 원래대로 되돌리면 끝.
그리고 네트워크 기능을 켜서 인터넷 동작을 관찰할 때는 주의를 하셔야 합니다.
호스트 윈도우 보안패치가 안되어 있는 경우 내부네트워크를 타고 호스트OS 까지 들어오지 말란법도 없으니까요....
전문적인 바이러스 분석가들은 디버거와 디스어셈블러를 가지고 코드분석과
바이러스 프로세스 통제를 병행하는 경우도 있고,
'인터넷'까지 가상으로 만들어서(DNS와 게이트웨이를 가짜로 구성함) 동작을 분석하기도 합니다.
-
DarknessAngel 2014.12.02 18:53
저것때문에 호스트OS를 해당 바이러스가 작동할 수 없는 OS로 하기를 추천하는겁니다 (불가피한 경우 가상머신에서 다시 가상머신 구동)
최저한도로 윈도용 바이러스가 호스트OS가 윈도 아닌데도 감염시킬리는 없으니까요 (...)
일단 저런 작업할때는 가상에 확장도구를 안 깔고, 공유폴더등 다 제거해서 전송될 가능성을 최대한 막은다음 하기를 추천합니다
전에 저런 작업 몇번 시도해본적 있는 경험상 안전을 위해서 추천하는겁니다 (원칙적으로는 물리적으로 독립된 테스트용 머신에서 네트워크에 다른 머신이 없도록 독립된 사설 네트워크 하나 만든후에 하기를 추천하고싶지만, 이게 불가피하다면 최저한도는 해야 안전합니다)
-
CT 2014.12.03 08:00
답변 주신 두분 감사합니다. 많은 참고가 되었습니다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 53149 | 기 타| 네트워크 공유시 제 파일 다운로드 중인지 확인 문의 [2] | asesina | 1200 | 12-02 |
| 53148 | 서버 / IT| 이 사이트만 접속이 안되는데, 한번 봐주십시오~ [8] | brucex | 2140 | 12-02 |
| 53147 | 윈 도 우| Hyper-v 에 windows 10 TP 설치가 안되네요.. [3] | 주주주 | 1286 | 12-02 |
| 53146 | 소프트웨어| 트루이미지 ISO 파일 구울때 따로 하는 방법이 있나요? [2] | 귀족 | 1181 | 12-02 |
| 53145 | 모 바 일| 바이두 가입절차 및 방법 [5] | 오랜길 | 4159 | 12-02 |
| » | 윈 도 우| 바이러스 파일을 테스트해보려는데 [4] | CT | 1143 | 12-02 |
| 53143 | 윈 도 우| 여러번올라온질문이지만 만능고스트파일로 윈도우 재설치어... [5] | 윈도우8.1 | 3734 | 12-02 |
| 53142 | 윈 도 우| 윈도우 설치 USB 제작 중 실패현상 문의드립니다. [2] | Amour | 1101 | 12-02 |
| 53141 | 윈 도 우| 윈도우 홈그룹 파일 전송 [1] | 눈꽃님 | 1120 | 12-02 |
| 53140 | 윈 도 우| USB를 제거하면 "이동식 디스크"가 생성이 됩니다. | 나미애 | 1383 | 12-02 |
| 53139 | 하드웨어| 랜툴 관련 다시 질문 드립니다.... [4] | 우주선 | 1207 | 12-01 |
| 53138 | 소프트웨어| 고수님들께 질문드립니다. | 샤픈니다 | 1008 | 12-01 |
| 53137 | 소프트웨어| adobe acrobat pro9 설치하고 난뒤 오류입니다 ㅠㅠ (그림... | 유재훈 | 1357 | 12-01 |
| 53136 | 소프트웨어| Pale Moon 확장자 설치 방법 좀.. [5] | 테츠로 | 1102 | 12-01 |
| 53135 | 하드웨어| 144Hz 모니터 사용하시거나 보신분들에게 질문!! [2] | sky | 2116 | 12-01 |
| 53134 | 기 타| 폰트를 알고 싶습니다. [3] | 신사맨 | 1232 | 12-01 |
| 53133 | 윈 도 우| 윈도우 종료할때 작업중이던 창들 저장후 다시 불러올수있나요 [3] | 빠져들어 | 1143 | 12-01 |
| 53132 | 소프트웨어| 32비트 소프트웨어를 64비트운영체제에 설치되나요? [4] | 사랑비 | 8262 | 12-01 |
| 53131 | 기 타| PE 제어판메뉴중 불필요한것 삭제 하는법이 궁금합니다 | 토발즈 | 1223 | 12-01 |
| 53130 | 기 타| TISTORY 초대장 하나 부탁드려요 | 마이크로 | 1031 | 12-01 |
일단 안전하게 할려면 호스트가 윈도인경우 문제되는 경우가 있으므로 exe를 실행할 수 없는 타입의 OS에서 가상머신을 돌려서 작업해주세요