마이크로소프트(Microsoft) 업체에서 무료로 제공하는 실행 중인 프로세스(Process), DLL, Handle 정보를 확인할 수 있는 Sysinternals Process Explorer 도구에 바이러스토탈(VirusTotal) 검사 기능이 추가된 버전이 공개되었습니다.

  Sysinternals Process Explorer 도구를 이용하여 필요없는 프로세스 찾는 방법 (2009.3.21)

 

  바이러스토탈(VirusTotal) 개편 소식 (2012.1.13)

 

바이러스토탈(VirusTotal) 서비스는 현재 구글(Google)에서 인수를 한 후 50개의 전 세계 AntiVirus 스캐너를 이용하여 사용자가 업로드한 파일에 대한 악성 여부를 실시간으로 제공하고 있는 매우 유용한 웹 서비스입니다.

 

1. 바이러스토탈(VirusTotal) 검사를 위한 옵션 설정

Sysinternals Process Explorer 도구를 이용하여 바이러스토탈(VirusTotal) 검사 기능을 원활하게 사용하기 위해서는 "View → Select Columns" 메뉴를 실행하여 "Process Image", "DLL" 탭의 "VirusTotal" 항목을 체크하도록 하시기 바랍니다.

이를 통해 실행 중인 프로세스(Process)와 DLL에 표시된 바이러스토탈(VirusTotal) 검사 기능을 통해 사용자가 확인을 원하는 파일에 대한 검사 결과를 확인할 수 있다고 안내하고 있습니다.

이를 통해 Sysinternals Process Explorer 도구에 적용된 바이러스토탈(VirusTotal) 표시 부분은 사용자가 선택하여 검사한 파일에 대해서만 결과를 확인할 수 있으며, 해당 항목은 마우스 드래그(Drag)를 통해 원하는 위치로 이동이 가능합니다.

 

2. 바이러스토탈(VirusTotal) 검사 예시 : 프로세스(Process)

기본적으로 Sysinternals Process Explorer 도구를 통해 실행 중인 파일에 대한 바이러스토탈(VirusTotal) 검사를 위해서는 검사를 원하는 파일을 선택하여 "Options → VirusTotal.com → Check VirusTotal.com" 메뉴 또는 선택한 파일의 하위 메뉴에서 "Check VirusTotal" 기능을 통해 검사를 진행할 수 있습니다.

Sysinternals Process Explorer 도구를 이용하여 특정 파일에 대한 바이러스토탈(VirusTotal) 검사를 처음으로 시도할 경우 "VirusTotal Terms of Service" 메시지 창을 통해 이용약관에 대한 동의 과정을 1회 거치도록 되어 있습니다.

사용자가 선택한 파일(프로세스)에 대하여 바이러스토탈(VirusTotal) 검사를 진행하면 "Hash submitted..." 메시지를 통해 파일에 대한 해시(Hash)값을 전송합니다.( MD5, SHA1, SHA256 사용)

 

이를 통해 전송된 해시값에 대한 정보가 확인되어 기존에 바이러스토탈(VirusTotal)에 해당 파일에 대한 검사가 존재한 경우에만 그림과 같이 검사 결과가 표시됩니다.(※ 0/50 : 50개의 AntiVirus 스캐너 중에서 진단되는 수는 0을 입니다.)

만약 사용자가 자세한 정보를 원할 경우에는 제시된 검사 결과(0/50) 링크를 클릭할 경우 바이러스토탈(VirusTotal) 검사 결과 페이지로 연결이 됩니다.

 

여기에서 명심할 부분은 Sysinternals Process Explorer 도구를 통해 바이러스토탈(VirusTotal) 검사를 할 경우 파일을 전송하는 것이 아니라 해시(Hash)값을 전송하여 기존에 검사가 이루어진 경우에만 결과를 표시한다는 점입니다.

 

그러므로 사용자가 검사하려는 파일이 바이러스토탈(VirusTotal) 서비스에 등록되어 있지 않은 경우에는 1차적으로 결과가 표시되지 않으며, 검사된 파일의 경우에는 가장 최근에 검사된 결과를 표시합니다.

 

3. 바이러스토탈(VirusTotal) 검사 예시 : DLL

 

Sysinternals Process Explorer 도구를 이용하여 프로세스(Process)가 아닌 특정 프로세스 실행을 통해 연동되는 DLL 파일에 대해서도 바이러스토탈(VirusTotal) 검사를 할 수 있으며, 검사를 위해서는 "View → Lower Pane View → DLLs" 메뉴를 선택하여 진행할 수 있습니다.

사용자가 특정 프로세스(Process)를 선택하여 Lower Pane 영역에 표시되는 특정 DLL 파일에 대하여 "Check VirusTotal" 메뉴를 선택하면 프로세스(Process)와 동일하게 바이러스토탈(VirusTotal) 검사 결과를 확인할 수 있습니다.

 

4. 알려지지 않은 파일 검사 방법 : Submit  to VirusTotal

사용자가 Sysinternals Process Explorer 도구를 통해 특정 프로세스(Process) 또는 DLL 파일에 대해 바이러스토탈(VirusTotal) 검사를 진행하였는데 기존에 등록되지 않은 파일인 경우에는 "Unknown"이라고 표시가 됩니다.

바이러스토탈(VirusTotal) 서비스에 등록되지 않은 파일의 경우에는 해당 파일을 선택하여 "Submit to VirusTotal" 메뉴를 선택하면 바이러스토탈(VirusTotal)에 파일 자체를 자동 전송(File submitted...)합니다.

 

그 후 전송된 파일에 대해 검사(Scanning file...)를 진행하며 검사가 완료되면 자동으로 검사 결과를 표시하는 구조로 되어 있습니다.

 

5. 발견된 문제점

바이러스토탈(VirusTotal) 검사 기능이 새롭게 추가된 Sysinternals Process Explorer 16.0 버전은 아직은 일부 파일을 검사하는 과정에서 시스템 환경, 파일 크기 등 다양한 이슈로 인하여 검사시 오류가 발생하고 있습니다.

 

Sysinternals Process Explorer 도구는 Windows 작업 관리자와는 다르게 현재 실행 중인 파일에 대한 상세한 정보를 확인할 수 있는 매우 유용한 프로그램이며, 바이러스토탈(VirusTotal) 기능까지 추가됨에 따라 악성 파일을 찾는데 많은 도움이 될 것이라고 판단됩니다.

 

6. Sysinternals Process Explorer 도구 활용 팁(Tip)

 

(1) "관리자 권한으로 실행"하여 이용하시기 바랍니다.

Sysinternals Process Explorer 도구를 실행하실 경우에는 "관리자 권한으로 실행"하여 실행 중인 모든 파일에 대한 상세한 정보가 표시될 수 있도록 하시기 바랍니다.

 

(2) 루트킷(Rootkit) 방식으로 동작하는 프로세스는 표시되지 않는다.

사용자 또는 프로그램이 자신을 발견할 수 없도록 제작된 루트킷(Rootkit) 방식의 프로세스(Process)는 Sysinternals Process Explorer 도구에서는 표시되지 않습니다.

 

그러므로 Sysinternals Process Explorer 도구와 함께 루트킷(Rootkit) 탐지 기능을 가진 GMER 도구를 함께 사용하는 방식으로 활용하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바