이와 같이 실행 가능한 어느 프로그램이 있다. 파일을 실행하기 전에 악성코드가 포함되어있는 파일인지 알아보기 위해 확인을 해보려고 한다. (백신 등의 프로그램을 사용하지 않는다는 가정)
확인하는 방법은 먼저 Hex에디터 등과 같은 프로그램에서 해시값을 얻는 것이다. 이를 얻기 위해 [체크섬]을 클릭하면,
해시값을 얻을 수 있는 여러 암호 알고리즘 목록이 뜬다. md5가 많이 쓰이므로 md5로 구해보자.
[수락]을 클릭한 뒤 '체크섬' 항목에서 이 파일의 해시값을 얻을 수 있다.
이제, 구한 해시값을 통해 악성파일 정보를 많이 가지고 있는 'VIRUSTOTAL' 사이트에서 악성 여부를 알아볼 것이다. 'SEARCH' 항목 검색창에 입력하고 돋보기를 클릭해보자.
클릭한 후, 사이트에 전 세계의 보안 업체 및 백신 프로그램에서 해당 파일이 악의적인지 아닌지를 판별한 결과가 나타난다. 결과를 보면 상당수의 엔진이 해당 파일을 악성으로 판별했음을 알 수 있다.
물론 새로운 유형의 악성코드 및 악성파일인 경우, 백신 DB 업데이트가 되지 않아 악의적인 부분을 탐지하지 못하여 여러 엔진이 탐지를 못 할 수도 있기에 악성 판별이 나지 않았다고 하더라도 malware일 가능성이 다분하다.
만약 새로운 유형의 파일의 악의성을 판별하고자 할 때 반드시 염두에 두어야 하는 것이 있다. 그것은 바로 VIRUSTOTAL에 '해시값' 대신 '파일 자체'를 업로드하면 절대로 안 된다는 것이다.
왜냐하면, 아직 충분히 분석되지 않은 파일이기도 하고, 이런 행위가 사실상 바이러스 유포하는 것과 다를 게 없는 행동이기 때문이다. 그 어느 보안 업체, 백신 회사도 파일을 통째로 업로드해서 확인하지 않는다.
'Digital Forensic > 실무 지식' 카테고리의 다른 글
| 사이버 수사 및 디지털 포렌식 관련 질의 응답 (0) | 2020.06.03 |
|---|