▶ 보안 관련 정보 및 팁

카스퍼스키의 암호로 보호된 압축파일 내부 파일 진단하기

물여우 2008. 12. 1. 01:42
반응형


이미 아는 분들도 있으리라 생각됩니다만 오늘 제가 발견한 건 제목에 나와있듯이 암호가 걸려있는

압축파일 내부의 악성코드를 진단하는 기능입니다. 과거 베이글 같은 악성코드가 암호화 압축된 상태에서 일부 제품이 의심진단하는 건 봤습니다만 이런 경우는 저는 처음 봤습니다.





해당 진단명은 Password-protected-exe 로 암호로 보호된 실행파일에 대한 진단 기능으로 보입니다.
제가 샘플의 수가 매우 적은 관계로 잘못알고 있을 수 있지만 모든 exe파일에 대해 진단하는 건 아니었습니다. 아마 파일 자체가 악성요소를 지닌 exe 파일 포맷의 악성코드만을 잡는 것 같습니다.

물론 악성코드로 진단하는 파일 중 exe 파일이 아니면 암호를 걸은 압축을 하면 해당진단은 이루어지지 않습니다.


일반적으로 암호가 걸려진 압축파일은 내부파일과 상관없이 아래의 그림처럼 진단에서 내부파일 진단이 이루어지지 않습니다.
 

                                        
                                           암호로 보호된 압축파일 진단시 알림창




P.S : 카스퍼스키의 설정 중에 암호파일 검사하기 기능과는 상관없는 기능입니다. 그 기능을 활성화
        시키면 암호가 걸린 압축파일 스캔시 사용자가 암호를 입력해서 카스퍼스키가 압축을 해제, 내부
        파일을 스캔하는 기능입니다.




P.S2 : 좀 더 검색을 해보니 카스퍼스키  2009 이전 버전에도 있던 진단명으로 패킹된 파일이 다시 암호화 압축될 때 진단하는 경우인데  패커 자체를 진단하는 것과는 다른 진단 기능이었습니다. 
동일한 패커를 이용한 패킹이라 하더라도 실행파일에 따라 진단이 되고 안되는 경우가 있습니다.

카스퍼스키는 대부분 일반 사용자들이 사용하는 압축 포맷에 대한 해체/분석이 가능하지만
암호가 걸려있는 경우는 Zip나 jar 같은 몇몇 압축 포맷에서만 분석이 가능한 것 같습니다.
아쉽게도 RAR, 7z  포맷 등은 분석이 안되더군요.

반응형