반디집은 Windows 10의 AMSI(Antimalware Scan Interface) 기능을 사용하여 압축 파일의 내용을 풀지 않고 악성코드를 검사하는 기능을 제공합니다.
반디집으로 압축 파일을 열고, 툴바의 '스캔' 버튼을 클릭합니다. 악성코드가 검출되면 해당 내용이 스캔 창에 표시됩니다.
PC 환경에서 악성코드(컴퓨터 바이러스, 랜섬웨어 등)에 대한 대응은 매우 중요한 이슈입니다. 이에 마이크로소프트는 Windows 10부터 시스템에 설치된 안티 바이러스 프로그램(AV 프로그램)을 외부의 프로그램이 능동적으로 호출해 악성코드 검사를 수행할 수 있는 기능을 추가했습니다.
AMSI를 사용하면 하드 디스크에 파일을 저장하지 않아도 메모리의 내용만으로 악성코드를 검사할 수 있습니다. 반디집은 AMSI를 사용해 압축 파일의 내용을 메모리에 풀고 악성코드를 검사합니다.
AMSI는 Windows 10에서 사용할 수 있는 기능으로, Windows 10에 기본 내장된 Windows Defender 역시 AMSI를 지원하고 있습니다. Windows Defender 대신 타사 AV 프로그램을 사용하더라도, 해당 프로그램이 AMSI를 지원한다면 반디집은 마찬가지로 악성코드 검사를 수행할 수 있습니다.
만약 시스템에 설치된 AV 프로그램이 AMSI를 지원하지 않는다면 AMSI가 비활성화되거나 정상적으로 작동하지 않으며, 반디집의 악성코드 검사 기능도 작동하지 않습니다.
대부분의 AV 프로그램은 압축 파일 내부에 숨어 있는 악성코드를 검출할 수 있습니다. 그러나 AV 프로그램은 압축 프로그램이 아니므로 다음과 같은 경우 AV 프로그램 단독으로 검사를 수행하면 악성코드 검출에 실패할 수 있습니다.
반디집과 같이 압축 파일을 전문적으로 다루는 압축 프로그램이 악성코드 검사를 수행하면, 압축 파일에 최적화된 검사를 통해 빠르고 정확하게 악성코드를 검출할 수 있습니다.
아래의 샘플 파일들은 대부분의 AV 프로그램이 악성코드로 진단하지 못하는 파일입니다.
샘플 파일들을 Virustotal.com에서 테스트한 결과는 다음과 같습니다. 대부분의 AV 프로그램이 샘플 파일을 악성코드로 진단하는 데 실패하는 것을 볼 수 있습니다.
샘플로 제공되는 파일들은 실제 악성코드가 아닌, EICAR 샘플 파일입니다. EICAR에 대해 보다 자세한 정보는 아래 링크를 참고해 주시기 바랍니다.
반디집은 다음과 같은 조건에서 압축 파일의 악성코드를 검출하지 못할 수 있습니다.
이 기능은 다음과 같은 조건에서 악성코드를 검출할 수 없습니다.
AMSI 초기화에 실패하였다는 에러 메시지가 표시되는 경우, 다음과 같은 방법들로 문제를 해결할 수 있습니다.
Windows 보안의 실시간 보호가 꺼져 있습니다.
시스템에 설치된 AV 프로그램이 AMSI를 지원하지 않습니다. 현재 설치된 AV 프로그램을 제거하고 AMSI를 지원하는 AV 프로그램을 새로 설치한 뒤 다시 시도해 보시기 바랍니다. (Windows 10은 AMSI를 지원하는 Windows Defender를 기본 제공합니다.)