반디집으로 압축 파일의 악성코드 검사하기
반디집은 Windows 10의 AMSI(Antimalware Scan Interface) 기능을 사용하여 압축 파일의 내용을 풀지 않고 악성코드를 검사하는 기능을 제공합니다.
주의
- 이 기능은 Windows 10에서 사용할 수 있습니다.
- 이 기능은 시스템에 설치된 안티 바이러스 프로그램을 사용하여 검사를 수행합니다.
- 이 기능은 Windows 10의 실시간 보호가 꺼져 있으면 작동하지 않습니다.
- 이 기능은 모든 압축 파일에 대한 악성코드 검출을 보장하지 않습니다.
- 반디집 무료 에디션은 압축 파일 내부의 파일 중 크기가 1MB 이하인 파일만 검사합니다.
사용 방법
반디집으로 압축 파일을 열고, 툴바의 '스캔' 버튼을 클릭합니다. 악성코드가 검출되면 해당 내용이 스캔 창에 표시됩니다.
AMSI(Antimalware Scan Interface)란 무엇인가?
PC 환경에서 악성코드(컴퓨터 바이러스, 랜섬웨어 등)에 대한 대응은 매우 중요한 이슈입니다. 이에 마이크로소프트는 Windows 10부터 시스템에 설치된 안티 바이러스 프로그램(AV 프로그램)을 외부의 프로그램이 능동적으로 호출해 악성코드 검사를 수행할 수 있는 기능을 추가했습니다.
AMSI를 사용하면 하드 디스크에 파일을 저장하지 않아도 메모리의 내용만으로 악성코드를 검사할 수 있습니다. 반디집은 AMSI를 사용해 압축 파일의 내용을 메모리에 풀고 악성코드를 검사합니다.
관련 링크
- Windows 10 to offer application developers new malware defenses
- Windows Dev Center - Antimalware Scan Interface (AMSI)
AMSI 지원 소프트웨어
AMSI는 Windows 10에서 사용할 수 있는 기능으로, Windows 10에 기본 내장된 Windows Defender 역시 AMSI를 지원하고 있습니다. Windows Defender 대신 타사 AV 프로그램을 사용하더라도, 해당 프로그램이 AMSI를 지원한다면 반디집은 마찬가지로 악성코드 검사를 수행할 수 있습니다.
AMSI를 지원하는 AV 프로그램 (2021년 6월 기준)
- Windows Defender
- Avast
- Comodo
- Kaspersky
- McAfee
- Sophos
- ESET
만약 시스템에 설치된 AV 프로그램이 AMSI를 지원하지 않는다면 AMSI가 비활성화되거나 정상적으로 작동하지 않으며, 반디집의 악성코드 검사 기능도 작동하지 않습니다.
AMSI 미지원 프로그램
- 알약
- Avira
- eScan
- Tachyon
- Tencent PC Manager
- ViRobot
왜 압축 프로그램에 악성코드를 직접 검사하는 기능이 필요한가?
대부분의 AV 프로그램은 압축 파일 내부에 숨어 있는 악성코드를 검출할 수 있습니다. 그러나 AV 프로그램은 압축 프로그램이 아니므로 다음과 같은 경우 AV 프로그램 단독으로 검사를 수행하면 악성코드 검출에 실패할 수 있습니다.
- 압축 파일에 암호가 걸린 경우
- 파일이 널리 쓰이지 않는 압축 포맷으로 압축된 경우
- 파일이 널리 쓰이지 않는 압축 알고리즘으로 압축된 경우
- 해당 AV 프로그램이 압축을 풀지 않으면 압축 파일을 검사하지 않는 경우
반디집과 같이 압축 파일을 전문적으로 다루는 압축 프로그램이 악성코드 검사를 수행하면, 압축 파일에 최적화된 검사를 통해 빠르고 정확하게 악성코드를 검출할 수 있습니다.
샘플 파일 및 테스트 결과
아래의 샘플 파일들은 대부분의 AV 프로그램이 악성코드로 진단하지 못하는 파일입니다.
샘플 파일들을 Virustotal.com에서 테스트한 결과는 다음과 같습니다. 대부분의 AV 프로그램이 샘플 파일을 악성코드로 진단하는 데 실패하는 것을 볼 수 있습니다.
- 1.eicar.com.zpaq
- 10.eicar(password-is-password).zip
- 20.eicar.com.txt.lz
- 21.eicar.com(xz).zip
- 22.eicar.tar.xz
참고
샘플로 제공되는 파일들은 실제 악성코드가 아닌, EICAR 샘플 파일입니다. EICAR에 대해 보다 자세한 정보는 아래 링크를 참고해 주시기 바랍니다.
- https://www.eicar.org
- https://en.wikipedia.org/wiki/EICAR_test_file
제한 사항
반디집은 다음과 같은 조건에서 압축 파일의 악성코드를 검출하지 못할 수 있습니다.
- 시스템에 설치된 AV 프로그램이 진단하지 못하는 악성코드가 있는 경우
- 시스템에 2개 이상의 AV 프로그램이 설치된 경우
- AV 프로그램의 실시간 감시 기능이 꺼져 있거나 AMSI 지원 기능이 비활성화된 경우
- 압축 파일 안에 다른 압축 파일이 포함된 경우 (이중 압축)
- 그 밖에 다른 원인으로 AV 프로그램의 AMSI 지원 기능이 비활성화된 경우
이 기능은 다음과 같은 조건에서 악성코드를 검출할 수 없습니다.
- 압축 파일 내부의 파일 중 크기가 1MB를 초과하는 파일 (무료 에디션)
- 압축 파일 내부의 파일 중 크기가 10MB를 초과하는 파일 (유료 에디션)
- OS가 Windows 10이 아닌 경우
- 압축 파일에 암호가 걸려 있고 유효한 암호를 잊어버린 경우
- 압축 파일에 반디집이 지원하지 않는 압축 포맷 또는 압축 알고리즘이 사용된 경우
문제 해결
AMSI 초기화에 실패하였다는 에러 메시지가 표시되는 경우, 다음과 같은 방법들로 문제를 해결할 수 있습니다.
0x80070015. 장치가 준비되지 않았습니다.
Windows 보안의 실시간 보호가 꺼져 있습니다.
- 시작 > 설정 > 업데이트 및 보안 > Windows 보안 > 바이러스 및 위협 방지 > 설정 관리
- 실시간 보호 설정을 켬으로 전환합니다.
0x80070103. 사용 가능한 데이터가 없습니다.
시스템에 설치된 AV 프로그램이 AMSI를 지원하지 않습니다. 현재 설치된 AV 프로그램을 제거하고 AMSI를 지원하는 AV 프로그램을 새로 설치한 뒤 다시 시도해 보시기 바랍니다. (Windows 10은 AMSI를 지원하는 Windows Defender를 기본 제공합니다.)