Virustotal(바이러스토탈) 사용법
VirusTotal
바이러스토탈이란?
VirusTotal이란 파일, URL, IP주소, 도메인 등을 검사하여 악성코드와 같은 위험 요소를 감지하는 도구입니다.
https://www.virustotal.com/gui/home/search
VirusTotal
www.virustotal.com
사이트에 접속하여 무료로 사용할 수 있습니다.
사용법
파일 검사
파일을 올려서 검사를 실행해보면 위와 같은 결과를 얻을 수 있습니다.
아래의 빨간 상자는 다양한 악성코드 검사 엔진이 해당 파일에 적용된 결과입니다.
그리고 위의 빨간 상자에는 더욱 간단하게 결과를 확인할 수 있습니다.
아무런 악성코드도 탐지되지 않았다면 undetected문구와 초록색 체크문양이 나타나게 됩니다.
그리고 디테일 탭으로 들어가보면
기본적인 파일의 메타데이터를 확인할 수 있습니다.
URL 검사
URL 검사도 마찬가지로 검사하기를 원하는 URL를 불러와서 검사할 수 있습니다.
제가 검사한 URL은 하나의 엔진에서 Phishing 위험을 감지했군요.
마찬가지로 디테일 탭에서는 해당 URL의 Reponse 헤더의 정보를 확인할 수 있습니다.
서치
또한 virustotal은 다양한 검사결과 DB를 가지고 있기 때문에 IP주소, URL, 도메인, 혹은 파일의 해쉬 등으로 기존의 검사 기록을 조회할 수 있습니다.
방금 조회했던 동일한 URL인데 과거에는 악성코드가 하나도 검출되지 않았었네요.
그리고 여기서는 Relations라는 전에는 없었던 탭이 하나 생기는데 이는 Passive DNS Replication이나 해당 도메인의 서브 도메인, 그리고 Whois에서 얼마나 업데이트가 되었는지 등의 정보를 표시합니다.
Virustotal을 이용한 분석
바이러스 토탈은 기초 분석, 정적 분석, 동적 분석 과정 중 정적 분석이나 동적 분석에 필요한 기초적인 정보들을 모으고 분석의 방향성을 정해줄 수 있는 기초 분석에 사용됩니다.
Virustotal 사용 시 주의사항
- 해당 파일에 대한 검사결과가 공유되기 때문에 개인정보, 기밀 등의 민감한 파일을 올리면 안됩니다.
- 압축 파일은 분석 정확도가 낮으므로 압축을 푼 파일을 업로드 하는 것이 좋습니다.
- 바이러스 토탈에서 안전하다고 판단하더라도 결과의 무조건적인 맹신은 좋지 않습니다.