Virustotal

목차

• virustotal 기능
• virustotal 세부적인 사용 방법(세부 내용 분석 및 활용 방안)
• virustotal을 이용한 분석 방법

 

 

Virustotal 메인 화면

 

 

기능

• 약 90 여 개의 악성코드 검사 엔진을 통해 Domain, IP, URL, file hash를 통해 바이러스 검사를 함.
• file hash 값을 통해 이전 이력을 볼 수 있음. 
• 한번도 검사 안한 파일은 이력이 안뜸

 

세부사용

파일의 악성코드 유무 검사시 활용하는 탭

 

태블릿 음악 파일 검사

• 먼저 태블릿 안에 있는 음악 파일을 시험해봤을 때 이상x
• 다만 파일 타입에 따라서 되는 엔진도 있고, 안되는 엔진들도 있음.

 

 

URL안 사이트의 악성코드 유무 검사시 활용하는 탭

 

 

URL, IP, Domain, file hash 값을 이용하여 악성코드 유무를 검사하는 탭

 

 

 

Domain Test를 위해 티스토리 블로그 테스트

 

 

 

URL Test를 위해 tistory 내 특정 페이지로 테스트

 

• 이번에는 URL 테스트를 위해 현 티스토리 블로그의 악성코드에 관한 글로 테스트

 

 

 

Serch탭을 활용하기 위해 Hash 값을 이용

• 맨 처음 음악 파일을 테스트 하고 나서 해당 Hash 값을 이용하여 조회하였을 때
• 이미 검사한 기록을 보여주기에 빠름

 

 

 

• Detail 정보에 들어가면  Hash 함수 버전에 따라 다양한 Hash 값들을 조회할 수 있음.
• 방금 쓰인 Hash 값은 SHA-256 버젼
• 파일 최초 생성 날짜(복사x)나 최초 제출 날짜등을 모두 확인 할 수 있음. 

 

 

 

실제 검사시, 악성코드 있을 시

• 실제 파일이나 URL로 시도해본 것은 아니지만, 다른 분들의 검사결과를 참고
• 실제로 악성 코드 검출시 특정 엔진에서 검출됐다고 뜨게 됨.

 

Virustotal을 이용한 분석 방법

 

악성 코드 분석 방법

• 기초 분석: 기초 분석이란 동적 분석이나 정적 분석에 있어 필요한 기초적인 정보들을 제공해주며, 앞으로 어떻게 분석해야하는지에 대한 방향성을 제공
• 동적 분석: 파일을 실행시켜 그 변화를 관찰하고 분석하는 기법
• 정적 분석: 파일을 실행시키지 않고 파일 구조를 분석하는 기법

이때, virustotal은 기초 분석에 해당.

 

주의점

• 특정 파일 업로드 > 데이터 베이스에 쌓임 > 중요한 기밀 파일들을 올리면 유출 위험 
• 압축 파일 기재시 정확한 결과 파악x: 압축 파일의 안 제일 위에 있는 파일만 검사 > 해당 하나의 파일의 결과로만 압축 파일 전체를 판단
• 실시간 분석이 아닌, 그전에 누군가가 분석 의뢰한 결과를 보여주기에 날짜를 확인하여 현재 시점 혹은 최근시점으로 분석한 것이지 확인할 것(새로 고침으로 아이콘을 클릭하여 재분석 할 것!)
• 과반이 악성이 아니라고 해도 무조건 단정x, 추정하는 것