개편된 바이러스 토탈의 검색 쿼리값을 이용하여 웹브라우저의 검색 엔진에 바이러스 토탈 해쉬/태그 검색 엔진을 추가하는 방법과 데스크탑에서 직접 바이러스 토탈 분석 서비스로 파일을 업로드시켜주는 자체 업로드 프로그램인 'VirusTotal Uploader'을 살펴보겠습니다.
앞선 글에서 언급한 것처럼 바이러스 토탈은 분석된 파일의 해쉬값과 코멘트 태그를 검색해주는 검색 기능을 제공합니다.
바이러스 토탈의 Search 항목
바이러스 토탈의 검색 쿼리를 이용하면, 바이러스 토탈 홈페이지가 아니더라도 웹브라우저 자체적으로 제공해주는 검색 기능을 통해 해쉬값 및 코멘트 태그를 검색할 수 있습니다.
개편된 바이러스 토탈의 검색 쿼리값은 다음과 같습니다.
해당 쿼리값을 각 웹브라우저의 검색 엔진에 추가하는 방법은 아래와 같습니다.
(1) 웹마에 검색 엔진 추가
웹마가 설치된 폴더(일반적으로 'C:\Program Files\WebMa2')에서 'Search.ini' 파일을 메모장을 비롯한 편집 프로그램으로 열어서 아래와 같이 검색 쿼리값을 추가합니다.
100여가지의 검색 엔진이 포함되어 있어서, 새롭게 검색 엔진을 추가하기는 힘듭니다. 그래서 저 같은 경우 사용하지 않는 검색 엔진을 지우고 바이러스 토탈 검색 엔진을 추가하였습니다.
참고로 웹마의 경우 마지막 '%s'를 붙이지 않아도 검색이 가능합니다.
(2) 크롬에 검색 엔진 추가
아래와 같이 우상단의 도구 버튼을 클릭한 후 '옵션'을 선택, 기본 설정 항목에서 '검색 엔진 관리'를 클릭합니다.
검색 엔진 관리의 '기타 검색 엔진' 항목에 아래와 같이 '이름/단축키(키워드)/쿼리값'을 입력해줍니다.
정상적으로 입력이 되었으면 검색 쿼리값 항목에 '기본으로 설정' 버튼이 나타납니다. 이 버튼이 나타나지 않으면 쿼리값이 정상적으로 입력되지 않은 것이니 수정 바랍니다.
참고로 크롬은 url 주소창과 검색창이 일원화되어있고, 웹마처럼 검색 엔진을 휠 메뉴로 변경할 수 없기 때문에 단축키를 이용해서 검색 엔진을 변경해야 합니다. 그래서 단축키(키워드)가 중요한데 저는 바이러스 토탈의 단축키를 'v'로 지정했습니다.
검색 엔진을 바꾸는 방법은 주소창에 바꿀 검색 엔진의 단축키를 입력 후 키보드의 'Tab' 키를 누르면, 해당 엔진을 통한 검색 모드로 변경이 됩니다.
(3) 파이어폭스에 검색 엔진 추가
파이어폭스는 자체적으로 검색 엔진을 추가할 수가 없습니다. 파이어폭스에서 제공하는 검색 엔진 추가 사이트(https://addons.mozilla.org/ko/firefox/search-engines/)에서 이미 만들어진 검색 엔진을 추가하거나 다른 외부 플러그인을 이용해야합니다.
저는 직접 검색 엔진용 'xml'파일을 만들어서 검색 엔진에 추가했습니다. 제가 만든 xml 파일을 아래의 경로에 다운받고 파이어폭스를 재구동하면 검색 엔진이 추가가 됩니다.
C:\Documents and Settings\*사용자 윈도우 계정\Application Data\Mozilla\Firefox\Profiles\*랜덤한 사용자 파이어폭스 계정*\searchplugins
파폭 계정은 랜덤하게 생성되는 것 같던데 제 경우 'ad1y48eo.default'란 이름을 갖고 있었습니다. 그리고 사용자에 따라 최종 'Searchplugins' 폴더가 없을 수 있습니다. 이 경우에는 직접 폴더를 만든 후 xml 파일을 추가해주시면 됩니다.
추가된 바이러스 토탈 검색 엔진
검색 엔진을 바이러스 토탈 검색 엔진으로 변경을 하려면 파이어폭스 우상단의 검색 엔진 파비콘을 클릭해서 바이러스 토탈 검색 엔진을 클릭하면 됩니다.
위의 검색 사이트 목록 관리 항목에서 가장 위로 위치시켜서 기본 검색 엔진으로 지정할 수도 있고, 크롬처럼 단축키(키워드)를 이용해서 검색을 할 수도 있습니다.
VirusTotal Uploader는 바이러스 토탈에서 직접 제공하는 프로그램으로, 웹브라우저를 통해 바이러스 토탈 홈페이지 접속없이 바로 업로드를 할 수 있게 해줍니다.
악성코드 샘플을 많이 다루는 분들에게는 필수 프로그램으며, 우클릭 쉘메뉴(Comtext Menu)에 여유가 있는 일반 사용자분들도 의심되는 파일을 빠르게 검사하기 위해서 설치해두어도 좋습니다.
(1) 설치 과정
VirusTotal Uploader(이하 바토업로더)는 아래 링크에서 다운받을 수 있습니다.
설치 과정은 아래와 같습니다. 왼쪽부터 시계 방향으로 돌아갑니다. 설치 과정 중간에 특별한 부분은 없습니다.
(2) UI와 사용법
오른쪽 바탕화면 아이콘을 클릭하면 아래와 같이 바토업로더가 실행됩니다. 바토 업로더는 크게 2부분으로 나뉘어져 있으며, '실행된 프로세스 정보', '업로드 부분(프로세스, 파일, 링크 업로드)' 등으로 구성되어 있습니다.
'Upload process executable'은 현재 실행된 프로세스들을 직접 업로드하는 기능이고, 'Select file(S) and upload'는 시스템에 저장된 파일들을 사용자가 선택해서 업로드하는 기능입니다.
파일 선택창
특정 파일을 업로드하는 것은 마우스 우클릭 메뉴(Context menu)를 이용해서도 가능합니다. 업로드하고 싶은 파일을 우클릭한 후, '보내기'에서 'VirusTotal'을 선택하면 됩니다. 이 우클릭 메뉴를 사용하는 것이 가장 편합니다. 보통 이 기능을 이용하기 위해서 바토 업로더를 설치합니다.보내기->VirusTotal' height=152>
마지막 URL 검사는 웹상에 링크되어 있는 파일을 직접 바이러스 토탈에 업로드하는 기능입니다. 쉽게 말해 파일을 다운받아 업로드할 필요 없이 링크를 알려주면, 바토 업로더가 직접 링크 파일을 바이러스 토탈에 업로드 시켜줍니다. 이때 반드시 'http://'나 'https://'를 적어 주어야합니다. 보안 연결(https)로 링크된 파일은 업로드가 잘 안되는 경우가 많습니다.
'Option'은 URL 업로드 기능의 환경 설정인데, 아래와 같이 링크된 파일의 시스템 저장 여부를 설정합니다. 기본 설정(저장 안함)을 유지하는 것을 권장합니다.
의심되는 파일 또는 파일을 검사하기 위해서는 위의 3가지 업로드 항목 중 하나를 선택해서 업로드 버튼 누릅니다. 업로드 버튼을 누르면 아래와 같이 업로드가 진행됩니다.
기본적으로 해쉬값을 먼저 업로드해서 이전에 분석된 파일인지를 살펴봅니다. 이전에 분석된 정보가 있다면 그것을 보여줍니다. 이때 사용자가 재분석을 원한다면 하단 부분의 'Reupload files'를 클릭하면 됩니다. 만약 이전 분석 자료가 없다면 자동으로 파일이 분석됩니다.
참고로 기본 브라우저로 지정된 웹브라우저를 통해 분석 결과 페이지가 나타납니다. 바토 업로더는 단순 업로더일 뿐 진단 정보까지 보여주지는 않습니다.
웹브라우저 검색 엔진을 통한 해쉬 검색과 바토 업로더를 이용한 파일 업로드는, 바이러스 토탈을 편하게 매우 편하게 이용할 수 있게 해줍니다.
한 가지 아쉬운 점은 바토 업로더의 제한 용량(20MB)이 실제 바이러스 토탈 분석 용량(32MB)에 크게 못 미친다는 점입니다. 아직 개편 전 업로더 설치본이 제공되고 있는데, 빨리 업데이트 되어서 기본 용량을 모두 사용할 수 있었으면 좋겠습니다.
- 이상입니다.
'▶ 보안 관련 정보 및 팁' 카테고리의 다른 글
윈도우 XP의 IP 보안 정책을 이용해서 특정 IP의 연결 차단하기 (11) | 2012.02.03 |
---|---|
오픈 캡쳐(Open Capture) 7.0 업데이트 차단하기 - 방화벽을 이용한 특정 프로그램 인터넷 연결 차단 방법 (26) | 2012.02.03 |
[VirusTotal] 홈페이지 개편 소식 (2012.01.14) (4) | 2012.01.14 |
[안드로이드] 국내 정규 마켓을 통해 최초로 유포된 스마트폰 악성코드 (2011.01.07) (4) | 2012.01.08 |
바이러스 토탈에 포함된 제품들의 국적 정보 (7) | 2011.12.17 |