▶ 보안 제품 리뷰/;; Ad-Aware

Ad-Aware Free Internet Security 리뷰 (4) - 수동 검사 (Scan)

물여우 2010. 9. 14. 18:42
반응형
애드어웨어(Ad-Aware)의 수동 검사에 대해서 살펴봅니다.




5. 수동 검사 (Scan)

애드어웨어 무료 버전은 실시간 감시 기능이 상대적으로 보안성이 떨어지기 때문에 수동 검사의 중요성이 큽니다. 따라서 타 제품에 비해 수동 검사를 주기적으로, 더 많이 사용하기를 권장합니다. 


5-1. 수동 검사 메인 화면

수동 검사 또한 Simple mode와 Advanced mode간에 차이가 존재합니다. 아래 그림 좌측이 간단 모드, 우측이 고급 모드 입니다. 고급 모드를 통해서만 예약 검사와 검역소, 제외 설정 등을 사용할 수 있습니다.



빠른 검사(Smart Scan)에서는 시스템 주요 폴더와 함께 일부 시스템 항목들만 검사합니다. 기본적으로 실행 파일 종류만 검사하며 안티 바이러스 엔진도 함께 쓰입니다.

전체 검사(Full Scan)에서는 시스템의 모든 폴더와 모든 시스템 항목이 검사되며, 압축 파일 및 모든 종류의 파일이 검사 됩니다.

사용자 지정 검사(Profile Scan)은 사용자가 지정한 항목만 검사하게 됩니다. 

참고로 마우스 우클릭 쉘메뉴의 검사는 압축 파일 검사 등을 지원하지 않으며, 설정이 고정되어 있습니다. 기본적으로 안티 바이러스 엔진은 활성화되어 있으나, 휴리스틱(행동 기반)의 활성화 여부는 확인이 되지 않고 있습니다. 

검사하는 항목에 대해서는 다음 환경 설정 단락에서 살펴보겠습니다.


5-2. 환경 설정 (사용자 지정 검사 설정)


애드어웨어는 기본적으로 빠른 검사와 전체 검사에 대한 설정은 고정이 되어있습니다. 따라서 사용자가 직접 설정할 수 있는 것은 사용자 지정 검사 하나입니다.

그러나 유료 버전과 달리 무료 버전은 사용자 지정 검사를 여러개 지정할 수 없습니다. 따라서 만약 특별한 항목만을 검사하기 위해서는 귀찮더라도 항상 검사시마다 설정을 조정해야합니다.




환경 설정의 세부적인 내요은 아래와 같습니다.

(1) File Scanning : 파일 검사 설정
 - Rootkits : 숨겨진 객체 진단
 - Behavior-based detection : 행동 기반 진단 기능(가상화를 통한 진단 - 빗디의 B-HAVE와 유사)
 - Archives : 압축 파일 내부 파일 검사 (ZIP, RAR 등, 7z 지원 안함)
 - Executable files only : 실행형 파일만 검사
 - Skip files larger than : 특정 크기 이상되는 파일은 검사에서 제외
    -> 체크 후 하단 부분에서 KB 단위로 크기를 설정할 수 있음

(2) Sections to Scan : 시스템 항목 검사 설정
 - Critical areas : 시스템 주요 폴더 검사(프로그램 폴더, 윈도우 폴더 등등)
 - Running Applications : 현재 메모리에 로딩된 프로그램 검사
 - Windows Registry : 레지스트리 검사 -> 악성코드(주로 스파이웨어)의 레지스트리 변조를 진단/복구
 - LSPs : 윈도우의 LSPs(Layered Service Provider)를 검사하여 lsp로 등록된 악성코드 진단
 - ADS : ADS(Alternate Data Stream)검사 -> 링크로 연결된 숨겨진 파일 검사
 - MRUs : 최근 실행 또는 접근한 파일 목록 검사 (MRU는 Most Recently Used의 약자)
 - Browser hijacks : 강제로 변조된 시작 페이지나 검색 엔진 설정, 즐겨찾기, 바탕화면 연결 아이콘 등
   웹브라우저와 관련된 문제를 진단
 - Tracking cookies : 웹사이트 접속시 생성되는 쿠키 파일을 진단
 - Close browsers when deleting cookies : 웹브라우저 종료시 애드어웨어가 자동으로 쿠키를 삭제

(3) Anti-virus Engine : 외부 엔진 사용
 - 3 엔진으로 불리는 Vipre 엔진을 활성화 시킵니다.

주요 폴더 검사나, 메모리 검사, 레지스트리 검사 등은 기본적인 검사 항목이기 때문에 특별한 경우가 아니라면 모두 체크하기를 권장합니다. 또한 LSP나 ADS 경우 악성코드가 자주 사용하는 하는 부분이기 때문에 반드시 체크해야할 부분입니다.

Browser hijacks과 같은 부분은 과거 애드어웨어가 안티 스파이웨어로서 이름을 날리던 시절 때 악명(?)을 날리던 부분으로 국내 웹사이트의 즐겨찾기등을 오진하는 경우가 있어왔습니다. 지금도 '다음' 사이트의 즐겨찾기를 여전히 오진하고 있습니다.

또한 웹브라우저의 시작 페이지 및 검색 엔진 지정에 대해서 사용자가 지정한 것과 악성 애드웨어 등이 변조한 것을 구별할 수 없어 일괄적으로 진단하는 등의 문제가 있으므로, 특별히 해당 사항에 문제가 없다면 체크하여 사용할 필요는 없습니다.

혹시라도 원하지 않는 변경 등이 있거나 필요가 느껴진다면 전체 검사 등을 수행할 때를 이용하면 될 듯 합니다.



5-3. 검사 과정 및 결과 보고서

애드어웨어의 수동 검사는 검사 완료 시간을 기준으로 하면 리뷰한 제품들 중에서는 평균 수준의 속도를 갖고 있지만, 개인적인 체감상 다소 느리게 느껴집니다. 최근 보안 제품에서 도입되고 있는 확인된 파일에 대한 검사 제외 등 검사 속도를 높일 수 있는 기술은 아쉽게도 포함되어 있지 않습니다.

또한, 자동 처리 기능이 존재하지 않습니다. 따라서 항상 검사가 끝난 후 사용자가 직접 진단된 객체들을 처리해야합니다. 단, 예약 검사에는 자동 처리 설정이 존재합니다.

아래는 수동 검사가 진행 중인 모습입니다. 따로 검사 관련 팝업창이 생성되는 것이 아니라 메인 화면에서 검사가 이루어집니다. 이는 우클릭 쉘메뉴 검사시에도 적용이 되는데, 이로 인해 우클릭 검사는 초기 로딩이 조금 존재합니다.

수동 검사 화면



아래는 검사가 끝난 후 검사 결과 보고서 화면입니다. 애드어웨어는 진단된 객체를 각각 보여주는 것이 아니라 진단명을 기준으로 분류해서 보여줍니다.

수동 검사 결과 보고서


여기서 위험도를 나타내는 "TAI"는 애드어웨어 고유의 악성코드 위험성 판단 기준으로 1에서 10단계로 이루어져 있으며 3단계 이상부터는 실제 악성코드로 구분된다 보시면 됩니다.

TAI 단계



아래는 결과 보고서의 사용자 처리 과정입니다. 진단 세부 정보 보기 버튼을 눌러 해당 진단명의 개별 파일들을 확인할 수 있고, 각각의 파일을 사용자는 따로 처리할 수 있습니다.

검사 결과 세부 처리 과정



빨간 박스 부분인 처리 항목은 다음과 같습니다.

- Recommended : 권장 설정 -> 기본적으로 repair 기능 수행, repair가 안될 시 검역소로 이동 후 삭제
- Quarantine all : 검역소로 이동
- Remove all : 삭제 처리
- Repair all : 주입된 코드 삭제 등 정상 파일의 감염을 치료
- Allow all once : 이번 검사에서 처리 제외
- Add all to ignore list : 제외 설정에 추가하여 앞으로 검사시 진단 제외
- Custom : 동일 진단명 내의 개별 파일들을 처리할 때 사용



사용자가 모든 파일에 대해 처리 설정을 완료했다면 "Perform Actions Now" 버튼을 클릭하여 과정을 마무리 합니다. 이때 일부 악성코드에 대해서는 아래와 같이 부팅시 처리를 요구하게 됩니다.(사실 대부분의 악성코드에 대해 요구합니다.) 이는 강제 재부팅을 하는 것은 아니고, 차후에 재부팅시 자동으로 실시하게 됩니다.



처리 과정까지 완료하면 아래와 같이 하단부에 검사 보고서 세부 보기 버튼이 생깁니다. 이를 클릭하면 텍스트로 된 로그를 볼 수 있습니다. 검사 설정 및 결과 등의 세부 정보를 볼 수 있습니다.



검사 세부 결과의 예는 아래를 클릭해서 살펴보시기 바랍니다.




5-4. 검역소 (Quarantine)

검역소



검역소는 수동 검사의 결과 보고서와 유사한 구조를 갖고 있습니다. 위와 같이 진단명으로 분류되어 있으며 각각의 파일을 개별적으로 처리하거나 같은 진단명을 가진 파일을 일괄적으로 처리할 수도 있습니다.

아쉽게도 사용자가 지정한 특정 경로에 복구하는 기능은 없고, 초기에 진단된 경로에 그대로 복사가 됩니다. 또한, 한번 복구된 파일은 자동으로 제외 설정에 포함되니 주의하시기 바랍니다.

한가지 불편한 점은 검역소 내에 진단명이 무수히 많이 있을 때, 이를 삭제하려면 사용자가 일일이 삭제 조치를 설정한 후에 처리를 해야한다는 점입니다. 일괄 삭제 기능이 없어서 상당히 귀찮은 구조입니다.


5-5. 제외 설정 (Ignore List)


제외 설정



제외 설정 또한 수동 검사 결과 보고서와 유사합니다. 단, 여기에 기록된 객체들은 수동 검사 뿐만 아니라 실시간 검사에서도 진단이 제외되니 주의하시기 바랍니다.


5-6. 예약 검사 (Scheduler)

예약 검사 화면



예약 검사는 먼저 좌하단 부분의 "+" 버튼을 클릭하여 예약 검사 목록을 만든 후 3단계로 진행합니다.

예약 검사 목록 생성



(1) 검사 종류 설정 : 빠른 검사, 전체 검사, 사용자 지정 검사 등을 선택

(2) 예약 검사 시간 설정 : 한번, 일단위, 주단위, 월단위, 윈도우 부팅 시 등 선택

(3) 진단된 객체 처리 방법 설정 : 사용자 처리, 자동 처리 등을 선택





애드어웨어의 수동 검사는 특별한 부분이 있는 것은 아닙니다. 다만 몇가지 버그 등이 존재하는데 이는 다음에 다루도록 하겠습니다.



- 이상입니다.

반응형