어베스트! V6 버전에서 새롭게 추가된 기능 중의 하나가 AutoSandBox로 이는 바이러스에 감염됐을 가능성이 있는 파일을 실행했을 때에 가상화된 환경에서 실행되게 함으로써 감염을 미리 예방하는 기능입니다.

실제 어떻게 동작하는지에 대해 충분히 알 수 없었던 점을 고려하여 어베스트!에서 단독적인 툴(프로그램)을 공개했습니다.


감사합니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    어베스트! V5 버전이 출시되면서 새롭게 등장한 기능이 바로 Process Virtualization으로 실제로는 Sandbox의 한 형태로 볼 수 있습니다.

    Sandbox는 프로그램 내에 하나의 계층을 더 두어, 보안을 강화하는 기능으로 이에 대한 자세한 사항은 아래 링크를 참고하십시오.

    http://ko.wikipedia.org/wiki/%EC%83%8C%EB%93%9C%EB%B0%95%EC%8A%A4_(%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B3%B4%EC%95%88)

    이러한 샌드박스 기능을 통해 행동이 의심스러운 파일을 사용할 때에 보다 안전을 도모할 수 있습니다.

    하지만, 이러한 샌드박스에도 결점이 있다는 점을 아는 사람은 그리 많지 않습니다. 바이러스에 관심을 가진 사람들이 샌드박스를 애용하지만, 이를 우회할 수 있는 악성 프로그램이 존재합니다. 또한, 악성 프로그램은 샌드박스와 같은 가상화 운영 환경을 인식하여 동작을 중지하는 스마트~한 것들도 있습니다.


    <동영상: 어베스트! V5 프로 제품에서 샌드박스 기능을 우회>

    따라서, 바이러스와 같은 악성 프로그램을 다루는 사용자는 반드시 VMWare와 같은 가상환경이나 실제 PC에 악성코드를 감염시켜 확인하는 방법을 사용하는 것이 좋습니다.

    감사합니다.

    PS: 어베스트!의 취약점이라기 보다는 기능 자체의 한계라고 보는 편이 타당합니다. 다른 보안 제품도 마찬가지이니까요.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      가상화(Virutalization) 소프트웨어로 유명한 SandBoxie의 최신 버전인 v3.46 버전이 출시되었습니다. 기존 버전(v3.442)에 비해 향상되거나 추가된 기능은 다음과 같습니다.

      • Synaptics 트랙패드 스크롤 지원 및 로지텍 SetPoint 마우스 수평 스크롤 지원.
      • Run Sandboxed 대화상자를 수직으로 펼쳐서 많은 목록을 볼 수 있도록 확장.
      • SBIE1307, SBIE1309 메시지 발생 빈도 줄임.
      • 안정성 및 성능 향상
      • 윈도우 비스타/7에서 32/64비트 지원 향상. 64비트도 32비트와 진도를 맞춰 지원.
      • 윈도우 미디어 플레이어 11, 오피스 2010, 라이브 메일 등 MS 제품에 대한 호환성 향상.
      • McAfee SiteAdvisor, avast! Antivirus, AVG Anti-Virus, Blink Internet Security(64비트), Kaspersky Internet Security, Online Armor, Panda Cloud Antivirus 호환성 향상.
      • EMClient, Internet Download Manager, JetStart, LastPass, Linkman, NVDA, ShortKeys Lite, VirtuaWin, WinAmp, Xobni Plus, Zotero 호환성 향상.

      다운로드 링크는 아래와 같습니다.


      끝.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        바이러스토탈(http://www.virustotal.com)은 파일(또는 URL)에 악성 프로그램이 포함되어 있는지 진단해 주는 사이트로, 다양한 안티바이러스 엔진에서 순차적으로 검사를 진행합니다.

        따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.

        바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.

        • Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
        • Win32:SuspBehav - 의심스러운 행동을 하는 파일

        어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.

        Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.

        감사합니다.

         






        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          F-Secure는 현재 제공하고 있는 인터넷 시큐리티 2009 버전의 다음 버전인 2010을 출시한다고 밝혔습니다.

          Windows 7의 정식 출시에 더불어 F-Secure에서는 최신 운영체제를 지원하는 안티 바이러스 제품을 출시하게 됩니다.

          새로운 버전에서는 클라우드 기반의 기술을 사용하여 보다 나은 진단 기능을 제공하고, 인터넷 사용시 보다 안전하게 사용할 수 있도록 해준다고 합니다.

          클라우드 기반의 기술은 최신 유행하는 기술 중의 하나로 이와 유사한 기능으로는 판다 클라우드 안티바이러스가 있습니다. F-Secure 2010에 포함되어 있는 "Real-Time Protection Network" 구성요소가 클라우드 기반의 기술을 제공하며 특히 F-Secure의 중앙 서버에 저장된 데이터베이스와 사용자 시스템에 저장된 파일을 비교하는 DeepGuard 기능을 이용합니다.

          F-Secure 관계자에 따르면, F-Secure 중앙 서버와 개인 컴퓨터 간에 이러한 기능을 동작하는데에는 약 70-100 밀리초 정도로 매우 빠르고, 만약 사용자가 인터넷에 연결되어 있지 않은 경우에는 자체적인 "샌드박스" 검사 기술을 사용하게 된다고" 밝혔습니다. 또한, 2010 버전에서는 기존 버전에 비해 시스템 자원(리소스)를 덜 차지하도록 고려했으며, 이를 통해 넷북이나 저사양의 컴퓨터에서도 충분히 사용할 수 있다고 합니다.

          2010 버전은 9월 3일 경부터 인터넷에서 다운로드할 수 있으며 3 유저용 팩이 39.95 파운드, 1 유저용이 19.95 파운드에 판매될 예정입니다.

          또한 맥에서 사용할 수 있는 버전에 대해서 일부 언급하기도 했었지만, 보다 자세한 자료는 공개하지 않았습니다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory