반응형
이제부터 비트디펜더의 핵심 기능인 바이러스 차단 항목에 대해 살펴보도록 하겠습니다.
이번 포스팅은 실시간 감시 기능을 리뷰하겠습니다.
참고 : 이번에 리뷰할 비트디펜더 2009는 한글을 지원하는 제품이기에 기능 명칭이나 설명시에 한글
명칭을 통해 설명하겠습니다만, 비트디펜더의 한글화가 매끄럽지 못한 부분이 있어 앞으로의
포스팅에서는 일부 명칭은 영문판의 명칭을 같이 사용하도록 하겠습니다.
저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.
이번 포스팅은 실시간 감시 기능을 리뷰하겠습니다.
참고 : 이번에 리뷰할 비트디펜더 2009는 한글을 지원하는 제품이기에 기능 명칭이나 설명시에 한글
명칭을 통해 설명하겠습니다만, 비트디펜더의 한글화가 매끄럽지 못한 부분이 있어 앞으로의
포스팅에서는 일부 명칭은 영문판의 명칭을 같이 사용하도록 하겠습니다.
저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.
▶ 참고 포스팅
Bitdefender Internet Security 2009 (1) - 개요 및 설치 과정
Bitdefender Internet Security 2009 리뷰 (2-1) - Main UI
Bitdefender Internet Security 2009 (1) - 개요 및 설치 과정
Bitdefender Internet Security 2009 리뷰 (2-1) - Main UI
4. 바이러스 차단 - Antivirus
바이러스 차단 항목은 파일 실시간 감시/수동 검사 등 악성코드 진단과 치료를 담당하는 비트디펜더의 중요한 핵심 기능입니다.
이제부터 모든 기능 항목은 고급모드 UI를 기본으로하여 설명하도록 하겠습니다.
개인적으로 비트디펜더의 설정 부분의 일부 항목들의 분류 구분이 다소 모호한 부분이 있다고 느껴집니다. 예를 들면 파일 실시간 감시 항목에 피싱방지 모듈의 활성화 설정이 존재한다던가, 개인 정보 보호 항목에 레지스트리 변경이나 스크립트 실행 관리 기능이 포함되는 등 타사 제품과 기능별 항목 분류에 약간의 차이가 있는 듯 합니다.
비트디펜더의 악성코드의 시스템 침입 감시 기능은 보호막(Real-time Protection : 시그니처/행동 분석 진단, 웹사이트 피싱 방지)과 개인 정보 보호 항목의 감시 기능으로 구성됩니다.
비트디펜더의 보호막(Shield)의 기능은 안티바이러스의 기본적인 파일 실시간 감시 기능과, IE 및 파이어폭스 및 메신저를 통한 피싱사이트 접근을 차단하는 피싱방지 기능이 포함되어 있습니다.
(1) 파일 실시간 감시 기본 설정
위의 그림에서 초기 수준을 클릭하면 왼쪽의 파일 실시간 감시의 감시 수준을 3 단계로 구분하여 설정할 수 있습니다. 기본적으로 비트디펜더에서 제공하는 각 단계별 실시간 감시 수준은 아래와 같습니다.
① 적극적(Aggressive) : 가장 높은 수준의 감시 강도를 제공합니다.
˚ 모든 악성코드 검사
˚ 모든 파일 검사 (네트워크 검사 포함: 외부 공유 폴더 검사, 부트 영역 검사, 일반 및 압축파일 검사 크기 제한 없음)
˚ B-HAVE 적용 (시그니처 및 일부 행동기반 탐지)
˚ 송수신 E-mail 검사
˚ 패거 내부 검사 (일반 압축 파일 내부 검사는 제외)
˚ 웹(Http)트래픽 검사
˚ 메신저 트래픽 검사
˚ 처리 방법 : 악성 코드 - 1차 치료/2차 검역소, 의심 파일 - 1차 접근 금지/2차 접근 금지
② 초기(Default) : 기본 수준의 감시 강도를 제공합니다.
˚ 모든 악성코드 검사(단, 다이얼러 류와 일부 어플리케이션 DB는 제외됩니다.)
˚ 모든 파일 검사
(신규 생성 및 변경 파일만 감시,네트워크 검사 제외, 부트 영역 검사, 일반 및 압축파일 검사 크기 제한 없음)
˚ B-HAVE 적용 (시그니처 및 일부 행동기반 탐지)
˚ 송수신 E-mail 검사
˚ 패거 내부 검사 (일반 압축 파일 내부 검사는 제외)
˚ 웹(Http)트래픽 검사 제외
˚ 메신저 트래픽 검사
˚ 처리 방법 : 악성 코드 - 1차 치료/2차 검역소, 의심 파일 - 1차 접근 금지/2차 접근 금지
③ 허용적(Permissive) : 가장 낮은 수준의 감시 강도를 제공합니다.
˚ 바이러스만 검사
˚ 일부 파일 확장자만 검사() 1
˚ B-HAVE 적용 (시그니처 및 일부 행동기반 탐지)
˚ 수신 E-mail 검사/송신 E-mail은 제외
˚ 패거 내부 검사 (일반 압축 파일 내부 검사는 제외)
˚ 웹(Http)트래픽 검사 제외
˚ 메신저 트래픽 검사 제외
˚ 처리 방법 : 악성 코드 - 1차 치료/2차 검역소, 의심 파일 - 1차 접근 금지/2차 접근 금지
거동 검사기를 제외한 B-HAVE 기술의 의심 진단 기능은 감시 강도와 상관없이 활성화 되어 있으며, 실시간 감시의 감시 강도가 높아질수록 시스템 퍼포먼스는 떨어집니다.
개인적으로는상당히 여러 감시 항목이 파일 실시간 감시 기능에 포함되어 있기 때문에 위와 같이 비트디펜더에서 제공하는 실시간 감시 강도 설정을 사용하기보다 사용자 환경에 맞게 사용자가 수정하는 것이 좋다고 생각합니다.
(2) 파일 실시간 감시 사용자 설정
'사용자 수준' 버튼을 클릭하면 파일 실시간 감시의 설정을 사용자가 수정할 수 있습니다.
한글이기에 아래의 그림을 참고하면 대부분의 기능이 무엇인지 쉽게 파악할 수 있을 듯 합니다.
설명이 필요한 특정 부분만을 살펴보도록 하겠습니다.
실시간 감시 사용자 설정 화면
① 검사 파일 및 악성코드 종류 설정
ⓐ 프로그램 검사 : '모두 검사' 설정과 달리 비트디펜더의 검사 기준에 따른 파일 확장자를
검사합니다. 검사하는 파일 확장자 정보는 각주(1)을 참고해 주시기 바랍니다.
ⓑ 검사 확장자 : 사용자가 일일이 검사할 확장자를 기입합니다. 비트디펜더 경우 사용자가
원하는 확장자를 기입하기가 조금 불편합니다.
설정 부분의 '확장자' 부분을 클릭하면 위의 그림처럼 파일 확장자를 기입할 수 있습니다.
';' 으로 파일 확장자를 구분합니다.
ⓒ 위험한 프로그램 검사(Riskware) : 스파이웨어/애드웨어/리스크웨어 등의 악성코드를 진단
에 추가합니다. 비트디펜더 경우 정식 시그니처(감염파일) 진단과 의심 진단과 처리 방법에
차이가 있는데 Riskware 항목에서 진단되는 악성코드는 정식 시그니처 진단으로 인식되어
리됩니다.
ⓓ 비트디펜더의 한글화가 매끄럽지 못하다는 것을 보여주는 근거 중 하나입니다.
내부 자료 보관소 검사 : Scan inside Archives - 일반 압축 파일 검사(zip, 7z, rar등)
압축된 파일들 검사 : Scan Packed Files - 패커 압축 파일 검사
참고로 비트디펜더는 상당히 많은 압축 포맷 및 패커 포맷을 지원합니다. 기본적으로 ZIP,
RAR, 7Z 등 대중적인 포맷과 심지어 alz 같은 압축 포맷도 지원하는데, 외국 제품으로서는
비교적 의외의 경우라 생각됩니다.
비트디펜더 경우 다중압축파일 진단이 기본 설정(사용자 변경X)임으로 실시간 감시에서는 시
스템 퍼포먼스 상 사용하는 것이 좋지 않습니다. 압축 포맷 및 패커 포맷을 많이 지원하기
문에 압축 파일 및 패커 검사 설정은 수동 검사의 속도에서도 비교적 영향을 많이 미칩니다.
② 감염 파일 및 의심 파일 발견시 처리 방법
비트디펜더의 안티바이러스 엔진에 의해 정식 진단되는 악성코드(감염 파일로 명칭)와 휴리스틱 진단된 (의심 파일로 명칭) 악성코드는 조치 사항이 개별적으로 적용됩니다.
감염 파일 및 의심 파일 진단시 조치 사항은 두 단계로 나뉘어있는데, 첫 번째 행동 방법으로 처리가되지 않으면 이후 두번째 행동 방법을 사용하여 처리합니다.
(감염 파일 및 의심 파일 진단 시 세부적인 조치 사항은 모두 동일합니다.)
첫번째 행동
첫 번째 처리 방법은 접근 차단/파일 치료/파일 삭제/검역소 저장 등 4가지 행동을 설정할 수 있습니다.
두 번째 행동
두 번째 처리 방법에서는 파일 치료 항목이 사라졌는데, 치료 기능은 첫 번째로 조치되어야하는 것이 타당하기 때문입니다.
③ 실시감 감시시 파일 크기 제한 설정
이 항목을 클릭하면 아래 그림처럼 감시 제외시킬 파일 크기를 정할 수 있습니다.
단위는 KB이며 '0' 상태는 모든 파일을 감시 제외시킬 수 있습니다.
해당 기능은 진단시 우선 순위가 높은 설정이기에 사용에 주의해야 합니다.
④ 압축 파일 감시시 압축 파일 크기 제한 설정
'③' 번 항목과 동일하며 정해둔 크기보다 큰 압축파일은 압축을 풀어서 검사하지 않습니다.
압축파일 감시 설정이 활성화 되어있지 않으면 신경안쓰셔도 되는 항목입니다.
⑤ 비트디펜더의 악성코드 처리 방법에 대한 두 가지 주의 사항
ⓐ 파일 치료에 대한 비트디펜더의 정책
파일 치료에 대해서 비트디펜더의 정책적인 부분이 다른 제품들과 조금 다른 부분이 있는
데 이는 다음 사항을 예로 들어 설명하겠습니다.
기본적으로 정식 진단 처리 시 '파일 치료/검역소 이동' 의 행동을 설정하였습니다.
위에 빨간색 박스의 진단명으로 파일을 '치료'하였다고 알람창에는 나옵니다.
그러나 실제로는 위와 같이 해당 파일이 삭제되어 있음을 알 수 있습니다. 이 경우 검역소
에도 저장이 되지 않습니다.
제가 실험해본 결과 실행 파일(EXE, COM)들에서만 위와 같은 현상이 발생하였습니다.
다른 비실행 확장자들은 치료 불가로 두 번째 행동인 검역소 이동이 정상적으로 시행되었
습니다.
예상컨데 감염형 악성코드에 감염된 경우처럼 실제 감염부분의 코드만을 삭제할 수 없다
면 파일 자체를 삭제하는 것이 곧 치료 행동인 것으로 보입니다. 즉, 비트디펜더에서는 치
료란 단순히 감염된 코드만을 없애는 것 뿐만이아니라 파일(실행형 파일)자체가 악성이라
면 파일 자체를 삭제 하는 것이 곧 치료라는 의미입니다.
(비트디펜더도 감염형 악성코드나 일부 악성코드는 원본 파일에서 악의적인 코드만을 삭제할 수 있습니다.)
이와 달리 '파일 삭제' 행동은 치료 가능 여부와 상관없이 무조건 파일을 삭제(검역소 이동
없음)하는 것이라 이해할 수 있겠습니다.
개인적으로 비트디펜더를 사용하면서 오진등의 문제로 고생하지 않기 위해서는 감염 파일
에 대한 첫 번째 행동 처리를 검역소 이동으로 하기를 권장합니다.
검역소에 저장 후 파일의 치료(감염형 악성코드에 의한 감염)나 삭제를 결정하는 것이 비
트디펜더를 사용하는데 더 안전한 방법이라 할 수 있습니다.
사실 이런 문제는 '사용자 처리' 설정이 있으면 별 문제가 되는 것이 아닙니다만 비트디펜
더 또한 사용자 처리라는 행동 개념을 갖고 있지 않기 때문에(이는 의심파일진단시도 마찬
가지입니다.) 따라서 개인적으로는 이 부분에 대해서는 점수를 낮게 줄 수 밖에 없습니다.
아래는 바이럿 샘플로써 비트디펜더의 치료 기능이 실제 적용된 사례입니다.
ⓑ 감염 파일과 의심 파일?? - 비트디펜더의 정식 진단과 의심 진단
비트디펜더 경우 generic, Heur 등의 단어가 진단명에 추가되는 경우가 많은데, 이는 타사의
경우와 달리 비트디펜더의 정식 진단명 중 하나입니다.
예를 들어 Trojan.generic.xxxx / Backdoor.generic.xxxx /
Dropper:generic.xxxx /Gen:Trojan.Heur.xxx/Trojan.xxx.gen.x
등 상당히 많은 진단명들에 의심진단에 쓰이는 단어들이 포함되어 있습니다. 이러한 경우 비
트디펜더의 사전방역 기능인 B-HAVE 기능으로 진단되는 것이 아니라 비트디펜더랩의 분석
시 일종의 패턴 추가 방식으로 업데이트된 진단명으로 보입니다. 자세한 정보를 찾을 수
없어서 비트디펜더에 메일로 문의를 해봤지만 '해당 진단명'들'은 프로그램에 의한 자동 추
가'라는 애매한 답변을 주었습니다.
답변이 애매했던 이유는 비트디펜더에는 Behaveslike로 시작되는 의심진단명이 아래와 같
이 따로 존재하는데 예를 들어
Behaveslike:trojan.Downloader / BehavesLike:Trojan.WinlogonHook
BehavesLike:Trojan.UserStartup 등이 있습니다.
제가 문의했던 것은 위의 generic 진단명과 behaveslike 진단명들이 모두 '의심 진단'인지, 의
심 진단일 경우 서로의 차이점을 물어봤었기 때문으로 보입니다.
Behaveslike 진단명 경우 비트디펜더에서 의심파일로 처리하는 것을 봐서는 B-have 모듈에
의한 의심 진단명이라고 생각합니다. 그러나 generic 진단명들은 모두 감염 파일(정식DB)로
처리되며 악성코드 DB 업데이트시에도 해당 진단명들을 볼 수 있습니다.
바이러스 제로2 카페에서 검색해본 결과 비트디펜더의 generic 진단명은 자동 분석 시스템
에 의한 자동 패턴 추출 혹은 분석가에 의한 유사 패턴 분석을 통한 진단이라는 의견들이 있
었습니다. 개인적으로는 자동 분석 시스템에 의한 것인지 아닌지는 잘 모르겠습니다만 gene
ric 진단들은 일반적인 진단명들과는 조금 다른 부분이 있다는 것은 사실인 것 같습니다.
개인적으로 비트디펜더의 generic을 포함한 의심 진단명에 관심을 둔 이유는 개인적인 테스
트나 바이러스 제로에서의 토탈 결과에서 generic 진단명들에 의한 오진이 꽤 나타난 것을
보고 해당 진단명은 휴리스틱 기능에 의한 의심진단으로 생각했었는데, 실제로는 DB 업데
이트시 하나의 시그니처로 구성된 정식 DB라는 것이었기 때문입니다.
개인적으로 Behaveslike 등이 포함된 진단명은 의심 진단이기에 사용자가 주의깊게 처리하
는 것이 당연하지만, generic 등이 포함된 진단명도 사용자가 점검해 볼 필요가 있지 않나 생
각합니다.
(포스팅을 쓰면서도 발견한 오진이 있는데 KIS 8.0.406 설치 파일 내부의 avp.exe를 진단하는 것이 었습니다.
http://www.virustotal.com/ko/analisis/80e7d49c99070a82945158e1f02a6257)
(3) B-HAVE 기능 설명 (③, ④)
비트디펜더의 사전방역 기능은 B-HAVE 기능과 레지스트리 변경 및 스크립트 실행 감시 등 몇 가지 시스템 감시 기능으로 구성되어 있지만, 역시 가장 강력한 기능은 역시 B-HAVE 기능입니다.
B-HAVE는 Behavioral Heuristic Analyzer in Virtual Environments의 약자로서 행동기반탐지(Behavior-based Heuristics)를 기반으로 하는 비트디펜더의 사전방역 기술 및 기능 명칭입니다.
(시그니처 휴리스틱(패턴 비교)도 포함되어 있는 것 같은데, 주요한 기술이 행동기반탐지 기술이라고 이해하면 될 듯 합니다.)
B-HAVE는 아래와 같은 기능들을 기반으로 구성되어 있습니다.
˚ Generic detection routines
˚ Virtual Machine for VB Scripts
˚ Virtual Machine for BAT/CMD Scripts
˚ VB Scripts emulator
˚ Virtual Machine for executable files (PE, MZ, COM, SYS, Boot Image)
B-HAVE 기능은 실시감 감시와 수동검사에 양쪽에 모두 적용되는 시그니처 분석 및 행동 기반 시그니처 탐지 기능(Heuristic analysis)과 실시간 감시에만 적용되는 행동 기반 탐지 기능(Behavioral Scanner) 등 두 가지로 나뉘어 있습니다.
실시간 감시 및 수동검사 양쪽에 적용되는 휴리스틱 분석(Heuristic analysis) 기능은 시그니처 기반 휴리스틱과 가상화 기법을 이용한 행동기반 탐지로 구성되어 있습니다.
(어떠한 행동기반 탐지 기능이 포함되는지에 대한 정확한 정보는 찾지 못하였습니다.)
이 기능은 악성코드 탐지시 기본적으로 같이 구동되며 사용자가 비활성화 시킬 수 없습니다.
(즉, 비트디펜더의 기본 휴리스틱 기능은 어떠한 설정값에서도 항상 활성화 되어 있습니다.)
이 기능은 프로세스가 실행되기 전에(혹은 메모리에 이미 상주된 프로세스를) 코드 분석 또는 시그니처 비교 분석을 통해 위험성을 판단합니다.
'거동 분석기(Behavioral Scanner)' 명칭되어진 실시간 감시에만 적용되는 행동 기반 탐지 기능은 Symantec의 'Sonar' 혹은 Pctools의 'Threatfire' 와 유사한 방식의 기능으로 실행되며 프로세스 실행 시 프로세스의 행동을 분석하여 위험성을 판단합니다. 따라서 거동 분석기는 프로세스의 행동 하나하나를 제어하는 것이 아니라 프로세스(진단된) 실행을 제어하게 됩니다.
거동분석기는 Heuristic analysis 기능과 달리 활성/비활성화가 가능하고 분석의 민감도를 사용자가 조정할 수 있습니다.
최근에 실시된 AV-TEST의 자료(1)(2)(사전방역 기술 테스트 시 정의기반 및 행동기반 탐지 모두 적용) 와 AV-Comparatives의 자료(1)(2) (수동 스캔을 통한 시그니처 기반 진단)를 보면 B-HAVE 기능은 비교적 높은 수준의 사전 탐지율을 보이고 있습니다.
그러나 앞서 정식 진단과 의심진단에 대한 문제를 이야기할 때 잠시 언급했던 것처럼 비트디펜더는 비교적 오진이 높은 편입니다. 물론 비트디펜더가 국내에서 정식으로 서비스되지 않기 때문에 국내 제품들에 대한 오진이 높은 것입니다. 이런 오진이 정식진단이라 할 수 있는 generic 진단 때문인지 사전 방역 기술로 인한 오진인지는 정확하게 알 수는 없지만 분명한 것은, 국내외에 알려진 소위 말하는 메이저급 제품치고는 높은 사전 탐지율에 비하여 오진이 상당한 편이라고 생각됩니다. 국내에서 알약을 서비스하는 이스트 소프트에서도 오진 제외에 꽤 힘을 쏟고 있는 것으로 알려져 있습니다.
이러한 문제는 카스퍼스키나 어베스트 같은 제품에서도 부각되긴 합니다만 비트디펜더가 앞으로 노턴이나 맥아피 등 개인 및 기업 보안에서 강세를 보이는 제품들을 따라잡기 위해서는 좀 더 보완되어야 할 부분이 아닌가 생각됩니다.
Heuristic analysis는 비트디펜더의 설정과 상관없이 항상 활성화되어 있으므로, 사용자 설정 항목이 아예 없습니다. 따라서 B-HAVE에 대한 부분은 Behavioral Scanner(거동 분석기)를 살펴보는 것으로 마무리 짓겠습니다.
고급 모드 UI에서 바이러스 차단 항목의 '검사 설정'을 클릭하면 아래와 같은 거동 분석기 창이 활성화됩니다.
거동 분석기는 실시간 감시 강도 설정과 연계되어 설정값이 변경되는데 '적극적 - 중요한/초기 - 높음/허용적 - 비활성화' 와 같이 이루어집니다.
'중요한(Critical)' 설정은 모든 어플리케이션(시스템 파일 등을 포함)을 감시하며 분석시 위험성 판단 기준이 가장 엄격합니다.
'높은(High)/중간(Medium)/낮은(Low)' 설정은 단계별로 위험성 판단 기준이 유연해지는데 이 경우 모든 어플리케이션들을 감시하는 것은 아닌 것으로 보입니다. (이부분에 대한 정확한 정보는 찾지 못하였습니다.)
거동분석기는 어플리케이션이 시행하는 모든 행동을 감시하기 때문에 프로세스 로딩이나 구동시 딜레이가 발생할 수 있습니다. 특히 '중요한' 설정으로 구동시 웹사이트의 스크립트 실행까지 모두 검사하기 때문에 웹사이트 페이지 로딩시 딜레이가 약간 존재하며, 다른 어플리케이션의 초기 실행시(제외 설정 전)딜레이도 존재합니다.
또한, 위험성 판단 기준이 엄격하다는 것은 사용자의 일반 어플리케이션의 행동까지 위험성있는 행동으로 판단할 수 있으므로 이 기능 사용시에는 사용자의 판단이 중요하다고 할 수 있습니다.
(비교적 국내에서 유명한 프로그램들도 거동 분석기에 의해 진단이 가능함으로 사용시 주의가 필요합니다.
웹마는 특정 사이트의 스크립트 실행시에 진단된 것입니다.)
물론, 오피스 같은 대중적이고 유명한 제품들의 행동을 진단하지는 않습니다.
간혹 동일한 어플리케이션의 프로세스(이미 제외 처리된 프로세스)에 대해서 허용/차단 알람창이 활성화될 때가 있는데 개인적인 추측으로는 동일한 프로세스의 다른 행동을 탐지하면서 나타나는 현상으로 생각됩니다.
거동분석기로 탐지되었을 때 허용(제외설정)된 프로세스의 정보는 남지만(규칙화) 차단된 프로세스의 정보는 규칙화되지 못하여 실행시마다 사용자가 일일이 계속 처리(차단)해야한다는 점은 개인적으로 불편한 점이 었습니다. 허용/차단을 규칙화하여 사용자에게 제공하였으면 어땠을까 하는 아쉬움이 있습니다.
(4) 실시간 감시 알람창
① 파일 실시간 감시 진단시
단일 파일 진단 - 검역소 이동
다중 파일 진단 - 검역소 이동
비트디펜더의 한글화는 문제가 있는 부분이 많은데 위의 알람창에서도 한글의 줄바꿈이 제대로 안된 것을 볼 수 있습니다.
② Http 검사 (웹트래픽 검사) 진단시
③ Behavioral Scanner(거동 분석기) 진단시
'허용합니다'를 클릭하면 제외 설정에 추가되고 프로세스는 정상적으로 로딩됩니다.
반대로 'OK'를 클릭하면 프로세스의 로딩이 차단됩니다.
허용시 알람창
④ USB등의 외부 저장장치 연결시
외부 저장장치 연결에 대한 설정은 수동 검사 설정에 존재합니다. 외부 저장장치가 연결되어 자동실행 기능이 가동되면 위와 같이 비트디펜더의 수동 검사 여부를 묻는 알람창이 활성화됩니다. 이때 자동실행을 일으키는 Autorun.inf 파일이나 자동실행되는 파일은 실시간 감시 기능에서 바로 진단합니다.
(비트디펜더는 inf 파일도 진단할 때가 있습니다.)
자동 실행은 바이러스 검사(수동검사) 항목에서 자세히 살펴보도록 하겠습니다.
비트디펜더의 알람창은 비교적 깔끔한 구성을 갖고 있습니다. 진단된 악성코드 진단명외에 더 세부적인 정보를 얻기위해서는 비트디펜더 홈페이지(*) (generic 진단명 등은 의심진단이기에 정보가 없습니다.)에서 직접 검색해봐야 한다는 점과 악성코드 진단 위치 등을 드래그 할 수 없다는 소소한 단점은 있습니다.
개인적으로는 사용자 처리 기능이 없기 때문에 불편한 점이 있습니다만, 이는 사용자에 따라 호불호가 갈리는 문제라 생각됩니다.
(5) 실시간 감시 종료
비트디펜더의 실시간 감시 기능은 종료시 위와 같이 재활성화 시점을 지정할 수 있습니다.
- 두 번째 포스팅으로 넘어갑니다.
이제부터 모든 기능 항목은 고급모드 UI를 기본으로하여 설명하도록 하겠습니다.
개인적으로 비트디펜더의 설정 부분의 일부 항목들의 분류 구분이 다소 모호한 부분이 있다고 느껴집니다. 예를 들면 파일 실시간 감시 항목에 피싱방지 모듈의 활성화 설정이 존재한다던가, 개인 정보 보호 항목에 레지스트리 변경이나 스크립트 실행 관리 기능이 포함되는 등 타사 제품과 기능별 항목 분류에 약간의 차이가 있는 듯 합니다.
4-1. 보호막 - Shield
비트디펜더의 악성코드의 시스템 침입 감시 기능은 보호막(Real-time Protection : 시그니처/행동 분석 진단, 웹사이트 피싱 방지)과 개인 정보 보호 항목의 감시 기능으로 구성됩니다.
비트디펜더의 보호막(Shield)의 기능은 안티바이러스의 기본적인 파일 실시간 감시 기능과, IE 및 파이어폭스 및 메신저를 통한 피싱사이트 접근을 차단하는 피싱방지 기능이 포함되어 있습니다.
(1) 파일 실시간 감시 기본 설정
위의 그림에서 초기 수준을 클릭하면 왼쪽의 파일 실시간 감시의 감시 수준을 3 단계로 구분하여 설정할 수 있습니다. 기본적으로 비트디펜더에서 제공하는 각 단계별 실시간 감시 수준은 아래와 같습니다.
① 적극적(Aggressive) : 가장 높은 수준의 감시 강도를 제공합니다.
˚ 모든 악성코드 검사
˚ 모든 파일 검사 (네트워크 검사 포함: 외부 공유 폴더 검사, 부트 영역 검사, 일반 및 압축파일 검사 크기 제한 없음)
˚ B-HAVE 적용 (시그니처 및 일부 행동기반 탐지)
˚ 송수신 E-mail 검사
˚ 패거 내부 검사 (일반 압축 파일 내부 검사는 제외)
˚ 웹(Http)트래픽 검사
˚ 메신저 트래픽 검사
˚ 처리 방법 : 악성 코드 - 1차 치료/2차 검역소, 의심 파일 - 1차 접근 금지/2차 접근 금지
② 초기(Default) : 기본 수준의 감시 강도를 제공합니다.
˚ 모든 악성코드 검사(단, 다이얼러 류와 일부 어플리케이션 DB는 제외됩니다.)
˚ 모든 파일 검사
(신규 생성 및 변경 파일만 감시,네트워크 검사 제외, 부트 영역 검사, 일반 및 압축파일 검사 크기 제한 없음)
˚ B-HAVE 적용 (시그니처 및 일부 행동기반 탐지)
˚ 송수신 E-mail 검사
˚ 패거 내부 검사 (일반 압축 파일 내부 검사는 제외)
˚ 웹(Http)트래픽 검사 제외
˚ 메신저 트래픽 검사
˚ 처리 방법 : 악성 코드 - 1차 치료/2차 검역소, 의심 파일 - 1차 접근 금지/2차 접근 금지
③ 허용적(Permissive) : 가장 낮은 수준의 감시 강도를 제공합니다.
˚ 바이러스만 검사
˚ 일부 파일 확장자만 검사() 1
˚ B-HAVE 적용 (시그니처 및 일부 행동기반 탐지)
˚ 수신 E-mail 검사/송신 E-mail은 제외
˚ 패거 내부 검사 (일반 압축 파일 내부 검사는 제외)
˚ 웹(Http)트래픽 검사 제외
˚ 메신저 트래픽 검사 제외
˚ 처리 방법 : 악성 코드 - 1차 치료/2차 검역소, 의심 파일 - 1차 접근 금지/2차 접근 금지
거동 검사기를 제외한 B-HAVE 기술의 의심 진단 기능은 감시 강도와 상관없이 활성화 되어 있으며, 실시간 감시의 감시 강도가 높아질수록 시스템 퍼포먼스는 떨어집니다.
개인적으로는상당히 여러 감시 항목이 파일 실시간 감시 기능에 포함되어 있기 때문에 위와 같이 비트디펜더에서 제공하는 실시간 감시 강도 설정을 사용하기보다 사용자 환경에 맞게 사용자가 수정하는 것이 좋다고 생각합니다.
(2) 파일 실시간 감시 사용자 설정
'사용자 수준' 버튼을 클릭하면 파일 실시간 감시의 설정을 사용자가 수정할 수 있습니다.
한글이기에 아래의 그림을 참고하면 대부분의 기능이 무엇인지 쉽게 파악할 수 있을 듯 합니다.
설명이 필요한 특정 부분만을 살펴보도록 하겠습니다.
실시간 감시 사용자 설정 화면
① 검사 파일 및 악성코드 종류 설정
ⓐ 프로그램 검사 : '모두 검사' 설정과 달리 비트디펜더의 검사 기준에 따른 파일 확장자를
검사합니다. 검사하는 파일 확장자 정보는 각주(1)을 참고해 주시기 바랍니다.
ⓑ 검사 확장자 : 사용자가 일일이 검사할 확장자를 기입합니다. 비트디펜더 경우 사용자가
원하는 확장자를 기입하기가 조금 불편합니다.
설정 부분의 '확장자' 부분을 클릭하면 위의 그림처럼 파일 확장자를 기입할 수 있습니다.
';' 으로 파일 확장자를 구분합니다.
ⓒ 위험한 프로그램 검사(Riskware) : 스파이웨어/애드웨어/리스크웨어 등의 악성코드를 진단
에 추가합니다. 비트디펜더 경우 정식 시그니처(감염파일) 진단과 의심 진단과 처리 방법에
차이가 있는데 Riskware 항목에서 진단되는 악성코드는 정식 시그니처 진단으로 인식되어
리됩니다.
ⓓ 비트디펜더의 한글화가 매끄럽지 못하다는 것을 보여주는 근거 중 하나입니다.
내부 자료 보관소 검사 : Scan inside Archives - 일반 압축 파일 검사(zip, 7z, rar등)
압축된 파일들 검사 : Scan Packed Files - 패커 압축 파일 검사
참고로 비트디펜더는 상당히 많은 압축 포맷 및 패커 포맷을 지원합니다. 기본적으로 ZIP,
RAR, 7Z 등 대중적인 포맷과 심지어 alz 같은 압축 포맷도 지원하는데, 외국 제품으로서는
비교적 의외의 경우라 생각됩니다.
비트디펜더 경우 다중압축파일 진단이 기본 설정(사용자 변경X)임으로 실시간 감시에서는 시
스템 퍼포먼스 상 사용하는 것이 좋지 않습니다. 압축 포맷 및 패커 포맷을 많이 지원하기
문에 압축 파일 및 패커 검사 설정은 수동 검사의 속도에서도 비교적 영향을 많이 미칩니다.
② 감염 파일 및 의심 파일 발견시 처리 방법
비트디펜더의 안티바이러스 엔진에 의해 정식 진단되는 악성코드(감염 파일로 명칭)와 휴리스틱 진단된 (의심 파일로 명칭) 악성코드는 조치 사항이 개별적으로 적용됩니다.
감염 파일 및 의심 파일 진단시 조치 사항은 두 단계로 나뉘어있는데, 첫 번째 행동 방법으로 처리가되지 않으면 이후 두번째 행동 방법을 사용하여 처리합니다.
(감염 파일 및 의심 파일 진단 시 세부적인 조치 사항은 모두 동일합니다.)
첫번째 행동
첫 번째 처리 방법은 접근 차단/파일 치료/파일 삭제/검역소 저장 등 4가지 행동을 설정할 수 있습니다.
두 번째 행동
두 번째 처리 방법에서는 파일 치료 항목이 사라졌는데, 치료 기능은 첫 번째로 조치되어야하는 것이 타당하기 때문입니다.
③ 실시감 감시시 파일 크기 제한 설정
이 항목을 클릭하면 아래 그림처럼 감시 제외시킬 파일 크기를 정할 수 있습니다.
단위는 KB이며 '0' 상태는 모든 파일을 감시 제외시킬 수 있습니다.
해당 기능은 진단시 우선 순위가 높은 설정이기에 사용에 주의해야 합니다.
④ 압축 파일 감시시 압축 파일 크기 제한 설정
'③' 번 항목과 동일하며 정해둔 크기보다 큰 압축파일은 압축을 풀어서 검사하지 않습니다.
압축파일 감시 설정이 활성화 되어있지 않으면 신경안쓰셔도 되는 항목입니다.
⑤ 비트디펜더의 악성코드 처리 방법에 대한 두 가지 주의 사항
ⓐ 파일 치료에 대한 비트디펜더의 정책
파일 치료에 대해서 비트디펜더의 정책적인 부분이 다른 제품들과 조금 다른 부분이 있는
데 이는 다음 사항을 예로 들어 설명하겠습니다.
기본적으로 정식 진단 처리 시 '파일 치료/검역소 이동' 의 행동을 설정하였습니다.
위에 빨간색 박스의 진단명으로 파일을 '치료'하였다고 알람창에는 나옵니다.
그러나 실제로는 위와 같이 해당 파일이 삭제되어 있음을 알 수 있습니다. 이 경우 검역소
에도 저장이 되지 않습니다.
제가 실험해본 결과 실행 파일(EXE, COM)들에서만 위와 같은 현상이 발생하였습니다.
다른 비실행 확장자들은 치료 불가로 두 번째 행동인 검역소 이동이 정상적으로 시행되었
습니다.
예상컨데 감염형 악성코드에 감염된 경우처럼 실제 감염부분의 코드만을 삭제할 수 없다
면 파일 자체를 삭제하는 것이 곧 치료 행동인 것으로 보입니다. 즉, 비트디펜더에서는 치
료란 단순히 감염된 코드만을 없애는 것 뿐만이아니라 파일(실행형 파일)자체가 악성이라
면 파일 자체를 삭제 하는 것이 곧 치료라는 의미입니다.
(비트디펜더도 감염형 악성코드나 일부 악성코드는 원본 파일에서 악의적인 코드만을 삭제할 수 있습니다.)
이와 달리 '파일 삭제' 행동은 치료 가능 여부와 상관없이 무조건 파일을 삭제(검역소 이동
없음)하는 것이라 이해할 수 있겠습니다.
개인적으로 비트디펜더를 사용하면서 오진등의 문제로 고생하지 않기 위해서는 감염 파일
에 대한 첫 번째 행동 처리를 검역소 이동으로 하기를 권장합니다.
검역소에 저장 후 파일의 치료(감염형 악성코드에 의한 감염)나 삭제를 결정하는 것이 비
트디펜더를 사용하는데 더 안전한 방법이라 할 수 있습니다.
사실 이런 문제는 '사용자 처리' 설정이 있으면 별 문제가 되는 것이 아닙니다만 비트디펜
더 또한 사용자 처리라는 행동 개념을 갖고 있지 않기 때문에(이는 의심파일진단시도 마찬
가지입니다.) 따라서 개인적으로는 이 부분에 대해서는 점수를 낮게 줄 수 밖에 없습니다.
아래는 바이럿 샘플로써 비트디펜더의 치료 기능이 실제 적용된 사례입니다.
ⓑ 감염 파일과 의심 파일?? - 비트디펜더의 정식 진단과 의심 진단
비트디펜더 경우 generic, Heur 등의 단어가 진단명에 추가되는 경우가 많은데, 이는 타사의
경우와 달리 비트디펜더의 정식 진단명 중 하나입니다.
예를 들어 Trojan.generic.xxxx / Backdoor.generic.xxxx /
Dropper:generic.xxxx /Gen:Trojan.Heur.xxx/Trojan.xxx.gen.x
등 상당히 많은 진단명들에 의심진단에 쓰이는 단어들이 포함되어 있습니다. 이러한 경우 비
트디펜더의 사전방역 기능인 B-HAVE 기능으로 진단되는 것이 아니라 비트디펜더랩의 분석
시 일종의 패턴 추가 방식으로 업데이트된 진단명으로 보입니다. 자세한 정보를 찾을 수
없어서 비트디펜더에 메일로 문의를 해봤지만 '해당 진단명'들'은 프로그램에 의한 자동 추
가'라는 애매한 답변을 주었습니다.
답변이 애매했던 이유는 비트디펜더에는 Behaveslike로 시작되는 의심진단명이 아래와 같
이 따로 존재하는데 예를 들어
Behaveslike:trojan.Downloader / BehavesLike:Trojan.WinlogonHook
BehavesLike:Trojan.UserStartup 등이 있습니다.
제가 문의했던 것은 위의 generic 진단명과 behaveslike 진단명들이 모두 '의심 진단'인지, 의
심 진단일 경우 서로의 차이점을 물어봤었기 때문으로 보입니다.
Behaveslike 진단명 경우 비트디펜더에서 의심파일로 처리하는 것을 봐서는 B-have 모듈에
의한 의심 진단명이라고 생각합니다. 그러나 generic 진단명들은 모두 감염 파일(정식DB)로
처리되며 악성코드 DB 업데이트시에도 해당 진단명들을 볼 수 있습니다.
바이러스 제로2 카페에서 검색해본 결과 비트디펜더의 generic 진단명은 자동 분석 시스템
에 의한 자동 패턴 추출 혹은 분석가에 의한 유사 패턴 분석을 통한 진단이라는 의견들이 있
었습니다. 개인적으로는 자동 분석 시스템에 의한 것인지 아닌지는 잘 모르겠습니다만 gene
ric 진단들은 일반적인 진단명들과는 조금 다른 부분이 있다는 것은 사실인 것 같습니다.
개인적으로 비트디펜더의 generic을 포함한 의심 진단명에 관심을 둔 이유는 개인적인 테스
트나 바이러스 제로에서의 토탈 결과에서 generic 진단명들에 의한 오진이 꽤 나타난 것을
보고 해당 진단명은 휴리스틱 기능에 의한 의심진단으로 생각했었는데, 실제로는 DB 업데
이트시 하나의 시그니처로 구성된 정식 DB라는 것이었기 때문입니다.
개인적으로 Behaveslike 등이 포함된 진단명은 의심 진단이기에 사용자가 주의깊게 처리하
는 것이 당연하지만, generic 등이 포함된 진단명도 사용자가 점검해 볼 필요가 있지 않나 생
각합니다.
(포스팅을 쓰면서도 발견한 오진이 있는데 KIS 8.0.406 설치 파일 내부의 avp.exe를 진단하는 것이 었습니다.
http://www.virustotal.com/ko/analisis/80e7d49c99070a82945158e1f02a6257)
(3) B-HAVE 기능 설명 (③, ④)
비트디펜더의 사전방역 기능은 B-HAVE 기능과 레지스트리 변경 및 스크립트 실행 감시 등 몇 가지 시스템 감시 기능으로 구성되어 있지만, 역시 가장 강력한 기능은 역시 B-HAVE 기능입니다.
B-HAVE는 Behavioral Heuristic Analyzer in Virtual Environments의 약자로서 행동기반탐지(Behavior-based Heuristics)를 기반으로 하는 비트디펜더의 사전방역 기술 및 기능 명칭입니다.
(시그니처 휴리스틱(패턴 비교)도 포함되어 있는 것 같은데, 주요한 기술이 행동기반탐지 기술이라고 이해하면 될 듯 합니다.)
B-HAVE는 아래와 같은 기능들을 기반으로 구성되어 있습니다.
˚ Generic detection routines
˚ Virtual Machine for VB Scripts
˚ Virtual Machine for BAT/CMD Scripts
˚ VB Scripts emulator
˚ Virtual Machine for executable files (PE, MZ, COM, SYS, Boot Image)
B-HAVE 기능은 실시감 감시와 수동검사에 양쪽에 모두 적용되는 시그니처 분석 및 행동 기반 시그니처 탐지 기능(Heuristic analysis)과 실시간 감시에만 적용되는 행동 기반 탐지 기능(Behavioral Scanner) 등 두 가지로 나뉘어 있습니다.
실시간 감시 및 수동검사 양쪽에 적용되는 휴리스틱 분석(Heuristic analysis) 기능은 시그니처 기반 휴리스틱과 가상화 기법을 이용한 행동기반 탐지로 구성되어 있습니다.
(어떠한 행동기반 탐지 기능이 포함되는지에 대한 정확한 정보는 찾지 못하였습니다.)
이 기능은 악성코드 탐지시 기본적으로 같이 구동되며 사용자가 비활성화 시킬 수 없습니다.
(즉, 비트디펜더의 기본 휴리스틱 기능은 어떠한 설정값에서도 항상 활성화 되어 있습니다.)
이 기능은 프로세스가 실행되기 전에(혹은 메모리에 이미 상주된 프로세스를) 코드 분석 또는 시그니처 비교 분석을 통해 위험성을 판단합니다.
'거동 분석기(Behavioral Scanner)' 명칭되어진 실시간 감시에만 적용되는 행동 기반 탐지 기능은 Symantec의 'Sonar' 혹은 Pctools의 'Threatfire' 와 유사한 방식의 기능으로 실행되며 프로세스 실행 시 프로세스의 행동을 분석하여 위험성을 판단합니다. 따라서 거동 분석기는 프로세스의 행동 하나하나를 제어하는 것이 아니라 프로세스(진단된) 실행을 제어하게 됩니다.
거동분석기는 Heuristic analysis 기능과 달리 활성/비활성화가 가능하고 분석의 민감도를 사용자가 조정할 수 있습니다.
최근에 실시된 AV-TEST의 자료(1)(2)(사전방역 기술 테스트 시 정의기반 및 행동기반 탐지 모두 적용) 와 AV-Comparatives의 자료(1)(2) (수동 스캔을 통한 시그니처 기반 진단)를 보면 B-HAVE 기능은 비교적 높은 수준의 사전 탐지율을 보이고 있습니다.
그러나 앞서 정식 진단과 의심진단에 대한 문제를 이야기할 때 잠시 언급했던 것처럼 비트디펜더는 비교적 오진이 높은 편입니다. 물론 비트디펜더가 국내에서 정식으로 서비스되지 않기 때문에 국내 제품들에 대한 오진이 높은 것입니다. 이런 오진이 정식진단이라 할 수 있는 generic 진단 때문인지 사전 방역 기술로 인한 오진인지는 정확하게 알 수는 없지만 분명한 것은, 국내외에 알려진 소위 말하는 메이저급 제품치고는 높은 사전 탐지율에 비하여 오진이 상당한 편이라고 생각됩니다. 국내에서 알약을 서비스하는 이스트 소프트에서도 오진 제외에 꽤 힘을 쏟고 있는 것으로 알려져 있습니다.
이러한 문제는 카스퍼스키나 어베스트 같은 제품에서도 부각되긴 합니다만 비트디펜더가 앞으로 노턴이나 맥아피 등 개인 및 기업 보안에서 강세를 보이는 제품들을 따라잡기 위해서는 좀 더 보완되어야 할 부분이 아닌가 생각됩니다.
Heuristic analysis는 비트디펜더의 설정과 상관없이 항상 활성화되어 있으므로, 사용자 설정 항목이 아예 없습니다. 따라서 B-HAVE에 대한 부분은 Behavioral Scanner(거동 분석기)를 살펴보는 것으로 마무리 짓겠습니다.
고급 모드 UI에서 바이러스 차단 항목의 '검사 설정'을 클릭하면 아래와 같은 거동 분석기 창이 활성화됩니다.
거동 분석기는 실시간 감시 강도 설정과 연계되어 설정값이 변경되는데 '적극적 - 중요한/초기 - 높음/허용적 - 비활성화' 와 같이 이루어집니다.
'중요한(Critical)' 설정은 모든 어플리케이션(시스템 파일 등을 포함)을 감시하며 분석시 위험성 판단 기준이 가장 엄격합니다.
'높은(High)/중간(Medium)/낮은(Low)' 설정은 단계별로 위험성 판단 기준이 유연해지는데 이 경우 모든 어플리케이션들을 감시하는 것은 아닌 것으로 보입니다. (이부분에 대한 정확한 정보는 찾지 못하였습니다.)
거동분석기는 어플리케이션이 시행하는 모든 행동을 감시하기 때문에 프로세스 로딩이나 구동시 딜레이가 발생할 수 있습니다. 특히 '중요한' 설정으로 구동시 웹사이트의 스크립트 실행까지 모두 검사하기 때문에 웹사이트 페이지 로딩시 딜레이가 약간 존재하며, 다른 어플리케이션의 초기 실행시(제외 설정 전)딜레이도 존재합니다.
또한, 위험성 판단 기준이 엄격하다는 것은 사용자의 일반 어플리케이션의 행동까지 위험성있는 행동으로 판단할 수 있으므로 이 기능 사용시에는 사용자의 판단이 중요하다고 할 수 있습니다.
(비교적 국내에서 유명한 프로그램들도 거동 분석기에 의해 진단이 가능함으로 사용시 주의가 필요합니다.
웹마는 특정 사이트의 스크립트 실행시에 진단된 것입니다.)
물론, 오피스 같은 대중적이고 유명한 제품들의 행동을 진단하지는 않습니다.
간혹 동일한 어플리케이션의 프로세스(이미 제외 처리된 프로세스)에 대해서 허용/차단 알람창이 활성화될 때가 있는데 개인적인 추측으로는 동일한 프로세스의 다른 행동을 탐지하면서 나타나는 현상으로 생각됩니다.
거동분석기로 탐지되었을 때 허용(제외설정)된 프로세스의 정보는 남지만(규칙화) 차단된 프로세스의 정보는 규칙화되지 못하여 실행시마다 사용자가 일일이 계속 처리(차단)해야한다는 점은 개인적으로 불편한 점이 었습니다. 허용/차단을 규칙화하여 사용자에게 제공하였으면 어땠을까 하는 아쉬움이 있습니다.
(4) 실시간 감시 알람창
① 파일 실시간 감시 진단시
단일 파일 진단 - 검역소 이동
다중 파일 진단 - 검역소 이동
비트디펜더의 한글화는 문제가 있는 부분이 많은데 위의 알람창에서도 한글의 줄바꿈이 제대로 안된 것을 볼 수 있습니다.
② Http 검사 (웹트래픽 검사) 진단시
③ Behavioral Scanner(거동 분석기) 진단시
'허용합니다'를 클릭하면 제외 설정에 추가되고 프로세스는 정상적으로 로딩됩니다.
반대로 'OK'를 클릭하면 프로세스의 로딩이 차단됩니다.
허용시 알람창
④ USB등의 외부 저장장치 연결시
외부 저장장치 연결에 대한 설정은 수동 검사 설정에 존재합니다. 외부 저장장치가 연결되어 자동실행 기능이 가동되면 위와 같이 비트디펜더의 수동 검사 여부를 묻는 알람창이 활성화됩니다. 이때 자동실행을 일으키는 Autorun.inf 파일이나 자동실행되는 파일은 실시간 감시 기능에서 바로 진단합니다.
(비트디펜더는 inf 파일도 진단할 때가 있습니다.)
자동 실행은 바이러스 검사(수동검사) 항목에서 자세히 살펴보도록 하겠습니다.
비트디펜더의 알람창은 비교적 깔끔한 구성을 갖고 있습니다. 진단된 악성코드 진단명외에 더 세부적인 정보를 얻기위해서는 비트디펜더 홈페이지(*) (generic 진단명 등은 의심진단이기에 정보가 없습니다.)에서 직접 검색해봐야 한다는 점과 악성코드 진단 위치 등을 드래그 할 수 없다는 소소한 단점은 있습니다.
개인적으로는 사용자 처리 기능이 없기 때문에 불편한 점이 있습니다만, 이는 사용자에 따라 호불호가 갈리는 문제라 생각됩니다.
(5) 실시간 감시 종료
비트디펜더의 실시간 감시 기능은 종료시 위와 같이 재활성화 시점을 지정할 수 있습니다.
- 두 번째 포스팅으로 넘어갑니다.
- exe; .bat; .com; .dll; .ocx; .scr; .bin; .dat; .386; .vxd; .sys; .wdm; .cla; .class; .ovl; .ole; .exe; .hlp; .doc; .dot; .xls; .ppt; .wbk; .wiz; .pot; .ppa; .xla; .xlt; .vbs; .vbe; .mdb; .rtf; .htm; .hta; .html; .xml; .xtp; .php; .asp; .js; .shs; .chm; .lnk; .pif; .prc; .url; .smm; .pdf; .msi; .ini; .csc; .cmd; .bas; .eml; .nws. [본문으로]
반응형
'▶ 보안 제품 리뷰 > :: Bitdefender' 카테고리의 다른 글
Bitdefender Internet Security 2009 리뷰 (3) - 개인 정보 보호 제어 (0) | 2009.03.04 |
---|---|
Bitdefender Internet Security 2009 리뷰 (2-4) - 바이러스 차단 (3) : 기타 기능 (6) | 2009.03.02 |
Bitdefender Internet Security 2009 리뷰 (2-3) - 바이러스 차단 (2) : 수동 검사 (4) | 2009.02.27 |
Bitdefender Internet Security 2009 리뷰 (2-1) - Main UI (0) | 2009.02.21 |
Bitdefender Internet Security 2009 리뷰 (1) - 개요 및 설치 과정 (8) | 2009.02.19 |