Virustotal

Virustotal 의 기능

- 악성 코드 검사 웹페이지

- 70여개의 악성 코드 검사 엔진으로 의심스러운 File, URL, Domain, IP 를 무료로 분석 해주는 웹페이지

- 광범위한 악성 코드 및 서명 DB를 보유하고 있기에, 이전 악성 코드 검사 기록을 확인할 수 있다

 

---

 

File Tab

- 파일을 직접 업로드해 검사할 수 있는 기능으로 Choose File 을 클릭해 파일을 업로드 할 수 있다

URL Tab

- 텍스트 박스에 특정 URL을 입력해 해당 URL이 악성인지 아닌지 파악할 수 있다

Search Tab

- URL, IP, Domain, File Hash 를 통한 분석으로 URL Tab의 연장선으로 볼 수 있다

- 과거에 검색했던 파일의 경우 해시값 입력을 통해 이전의 검사 기록을 확인할 수 있다

 

---

 

Virustotal 를 통한 분석 방법

 

악성 코드 분석은 크게 3가지로 나눌 수 있다

 

기초 분석

: 동적 분석이나 정적 분석에 있어 필요한 기초적인 정보들을 제공해주며, 앞으로 어떻게 분석해야 하는지에 대한 방향성을 제공해주는 기법

 

동적 분석

: 파일을 실행시켜 변화를 관찰하고 분석하는 기법

 

정적 분석

: 파일을 실행시키지 않고 파일 구조를 분석하는 기법

 

Virustotal 은 기초 분석에 해당한다

-> Virustotal 은 악성 코드에 대한 기초적인 정보를 수집하는 단계라고 볼 수 있다

-> 악성 코드의 특징적인 부분을 파악한 후 정적 분석, 동적 분석 방향성을 결정하는 역할

 

---

 

*Virustotal 주의 사항

- 특정한 경우를 제외하고는 압축을 하지 않고, 단일 파일로 검사하는 것이 좋다

- 압축을 해야 하는 경우 하나의 파일만을 압축해서 검사한다(압축 파일의 제일 위에 있는 파일만 검사)

- Virustotal 의 검사를 맹신하지 않는다 

- Virustotal 에 업로드된 파일은 커뮤니티에 공개되기 때문에 개인정보 또는 민감한 정보는 업로드하지 않는다 

- Virustotal 은 실시간 검사가 아닌 이전 악성 코드 검사의 결과를 나타낸다 그러므로 검사 결과가 한달 이상 시간이 많이 지난 결과라면 실시간 분석을 다시 실행해준다