BLOG main image
Google
분류 전체보기 (36)
N0p (14)
Pr0gram1ng/R3v3rs1ng (11)
0Za (5)
M3 (3)
1nt3rn3t (3)
135,869 Visitors up to today!
Today 15 hit, Yesterday 33 hit
daisy rss
tistory 티스토리 가입하기!

2007.11.09 12:49
요즘 외산 엔진을 사다가 껍데기만 입혀서 백신을 만드는게 트렌드인가 봅니다.
네이버는 실패(?)를 했지만, 이번에는 알집을 만든 이스트소프트에서 "알약"이라는 백신을 출시했군요.

많은 분들이 관심을 가지고 계시고, 저 또한 많은 관심을 가지고 있습니다.
그래서 프로그램을 설치해서 몇가지 살펴보고, 테스트도 해 보았습니다.

사용자 삽입 이미지


1. 엔진은?

일단 엔진을 살펴 보았습니다.
물론 이스트소프트에서 개발했을리가 없을꺼라 생각했습니다.

안티-바이러스 엔진은 소프트윈사의 "비트디펜더" 엔진을 사용하더군요.
그리고 랩핑시킨 업체는 PC지기를 개발한 비전파워라는 회사구요.

사용자 삽입 이미지

안티-바이러스 엔진

사용자 삽입 이미지

비전파워에서 랩핑


그렇다면 안티-스파이웨어 엔진은? 당근 비전파워에서 제작한 것입니다.
비전 파워는 아시다시피 패스트패트롤 엔진을 사용합니다.
PC지기는 자체 엔진을 사용합니다. (쿨캣7님의 제보)

사용자 삽입 이미지

안티-스파이웨어 엔진



2. 실시간 감시 기능?

요즘 가장 화두가 되고 있는 부분 중에 하나입니다.
실시간 감시기가 포함되고 있나? 없나?에 대해서 네이버와 보안업체간의 싸움도 있었구요.
실시간 감시기비전파워에서 제작을 했습니다.

사용자 삽입 이미지

실시간 감시 정보


그럼 과연 잘 차단이 되는가?

사용자 삽입 이미지

진단 화면


뭔가 이상합니다.
프로그램 실행(오픈)된 후에 실시간 감시 화면이 뜹니다.
즉, 바이러스 혹은 악성코드 였다면 실행이 되고, 실시간 감시 결과 화면이 뜬다는거죠.
그리고 이후에는 아무리 실행을 시켜도 감시 화면이 나오지 않습니다.

일반적인 백신의 경우, 파일이 실행(오픈)이 되면, 파일을 Block 시킨 후 경고창을 출력합니다.
파일이 오픈되지도 않을 뿐더라, 읽기도 불가능하죠.

OSR Online의 DeviceTree 프로그램으로 Attach된 영역을 봤습니다.
이 부분도 뭔가 이상합니다. 드라이버가 올라간 건 확실한데 Attach된 영역이 없습니다.

- 덧글 -
퇴근을 하면서 아무리 베타 버전이지만 실시간 감시가 되지 않는 버전을 배포했을까라는 의문이 들었습니다. 그래서 집에 와서 위협이 덜한 악성코드를 실행시켜 보았습니다.

결과는 차단이 됩니다.

파일 복사 또는 오픈등은 Block 대상에서 제외하고, 오직 실행되는 프로세스에 대해서만 Block하는 것 같습니다. 바이러스 파일을 복사나 오픈을 하더라도 경고창만 출력되고 Block되지 않습니다.

그리고 실시간 감시기 드라이버는 존재하나 밑에 키눅스님이 댓글을 달아 주신 것 처럼, 일반적인 백신에서 사용하는 필터 드라이버 형태는 아닌 것 같습니다.

3. 결론

"알약 = PC지기"

그렇습니다. 비전파워에서 만든 PC지기에 이스트소프트가 껍데기만 만들어 배포한 제품입니다.
과연 이스트소프트에서 말하는 전국민의 보안 업그레이드를 할 수 있을지 의문이 듭니다.
신고
포스팅이 마음에 드시나요? 그럼 RSS 구독을 해 보세요!

RSS 주소 복사

Favicon of http://kinux.comgosu.net 키눅스 | 2007.11.09 14:13 신고 | PERMALINK | EDIT/DEL | REPLY
'드라이버가 올라간 건 확실한데 Attach된 영역이 없습니다.'
흠... 함 분석해 보고 싶은데.. 이벤트 신청이 마감되서 다운로드 받을 수가 없네요.
혹시 보내주실수 있으시다면 pvoid@핫메일닷컴 으로 보내주시면 감사하겠습니다.
Favicon of http://jepung.tistory.com 제풍 | 2007.11.09 17:40 신고 | PERMALINK | EDIT/DEL
안녕하세요? 키눅스님~

메일 보냈습니다.
분석해 보시고 저도 결과 알려주세요.. ^^;
혹, 이게 불법 배포라면 Pass~
Favicon of http://www.jiniya.net codewiz | 2007.11.10 01:53 신고 | PERMALINK | EDIT/DEL
키눅스님 메일 주소가 pvoid 군요. ㅋㅋ
예전 질럿님이 운영하던 pvoid.com이 생각나네요. ㅎㅎ
그 때 이름 잘 정했다고 막 그랬었는데 흐흐~~
Favicon of http://izesty.net zesty | 2007.11.09 15:13 신고 | PERMALINK | EDIT/DEL | REPLY
트랙백 잘받았습니다 ^^ 트랙백 걸고 갑니다 .자주 놀러오세요
Favicon of http://jepung.tistory.com 제풍 | 2007.11.09 15:31 신고 | PERMALINK | EDIT/DEL
네에.. 자주 뵙겠습니다!
Favicon of http://kinux.comgosu.net 키눅스 | 2007.11.09 15:18 신고 | PERMALINK | EDIT/DEL | REPLY
메일 잘 받았습니다. 감사합니다.
확인해 보니 파일시스템 필터드라이버나 미니필터 드라이버는 아니네요. 그래서 파일시스템이나 필터매니저에 Attach 하지 않았고.
파일시스템의 Major Function을 Hooking 하지도 않은것 같습니다. (Driver Object 함수 포인터를 얻으려는 함수들도 없는걸 보니.. 뭐 추측입니다. SoftICE 가 있었으면 확실히 알수 있었을텐데)
KeServiceDescrptorTable() 함수를 사용한걸 보니 Native API를 후킹하지 않았을까 추측됩니다.

제풍님이 추측하신거랑 별반 차이가 없다는.. ^^;
Favicon of http://jepung.tistory.com 제풍 | 2007.11.09 15:32 신고 | PERMALINK | EDIT/DEL
왜 이렇게 만들었는지는 개발자만 알고 있겠죠?
그 이유가 궁금하네요.. 흠..
Favicon of http://isponge.tistory.com 마음으로 찍는 사진 | 2007.11.09 16:42 신고 | PERMALINK | EDIT/DEL | REPLY
좋은 내용 잘 읽었습니다. DLL 파일까지 확인할 생각은 하지 못했는데...
트랙백 걸었습니다.
Favicon of http://jepung.tistory.com 제풍 | 2007.11.09 17:38 신고 | PERMALINK | EDIT/DEL
저도 방금 트랙백 걸었답니다.
앞으로 자주 놀러 오세요~
Favicon of http://saworl.egloos.com 사월 | 2007.11.09 20:57 신고 | PERMALINK | EDIT/DEL | REPLY
저도 트랙백을 걸겠습니다~ 잘 읽었습니다.
Favicon of http://jepung.tistory.com 제풍 | 2007.11.09 21:07 신고 | PERMALINK | EDIT/DEL
저도 걸었습니다.
좋은 하루 되세요~
Favicon of http://www.jiniya.net codewiz | 2007.11.10 01:58 신고 | PERMALINK | EDIT/DEL | REPLY
좋은 글 잘 읽고 갑니다.
트렌드 인것도 같고, 이슈화 되고 싶은거 같기도 하고 그런것 같아요. ㅎㅎ
사실 SDK를 사서 개발하는 것이야 뭐라 할 순 없지만, 그것을 다시 다른 업체에 맡겨서 제작한것은 좀 오반거 같아요. 그러면서 마치 대단한 일을 하는 것처럼 광고하는 것을 보면 왜 저러나 싶기도 합니다. 물론 공짜로 뿌리는게 대단한 것이긴 하지만 *^^* 추후 서비스 했을 때 대응은 어떻게 될지 지켜볼 문제인 것 같습니다.

그래도 이름 하나는 정말 기가 막히게 지은 것 같아요.
처음 들었을 때 뒤로 자빠링할 뻔 했죠 ㅋㅋㅋ
Favicon of http://jepung.tistory.com 제풍 | 2007.11.10 15:40 신고 | PERMALINK | EDIT/DEL
작명은 정말 잘한 것 같습니다... ^^

이제는 돈만 있어면 누구나 백신을 만들수 있는 시대가 활짝(?) 열렸네요~ SDK만 사다가 포장만하고, 긴급대처가 필요할 때는 SDK 판매한 업체에 샘플등을 보내고 긴~~대처를 하면 되니깐요.
Favicon of http://www.hizstory.net 마로 | 2007.11.10 18:25 신고 | PERMALINK | EDIT/DEL | REPLY
흠... 조금 특이한(?)형태의 실시간 감시로군요..
좋은 글 잘읽었습니다~
Favicon of http://jepung.tistory.com 제풍 | 2007.11.10 21:43 신고 | PERMALINK | EDIT/DEL
네에.. 한번 리버싱은 해 보고 싶은데..
그걸 할 시간이 없네요 ㅠㅠ

요즘 과중한 업무량에... 대량 포크레인 작업을 병행하고 있어서...
Favicon of http://www.window31.com window31 | 2007.11.11 23:42 신고 | PERMALINK | EDIT/DEL | REPLY
이사람 또 직업병 나오네 ㅋㅋ 누가 백신 개발자 아니랠까봐
위에 영진씨가 얘기하기도 했지만 SDK 를 사서 쓰는거야 사실 머라고 할 순 없겠지만
진짜 그걸 또 다른 업체에 랩핑을 맡긴 것은 큰 오바 같네 -_-

일단 그걸 담당한 고객사의 입장에서는 사실 짜증이 이빠이 날거라는 예상이 든다네.
예를 들어 유지보수 사항이나 신 바이러스가 있을때 그걸 처리하려면 벤더사에 샘플을 보내야 하는데
유저 -> SDK 구매업체 -> 벤더사....이런식의 절차가 있으니 시간이 상당히 걸리는 걸릴테고
만약 알약같은 경우라면, 유저 -> 이스트소프트(SDK구매업체) -> 비전파워(랩핑) -> 비트디펜더(벤더사)
이렇게 또 한단계의 절차를 더 거쳐야 할 테니, 매우 비효율적일듯 :(
물론 실제로 업무 플로우를 저렇게 답답하게 해놓진 않았겠지만... 가능성 있을법한 얘기라
SDK를 사용하는 자의 입장에서 한번 적어본것.....
Favicon of http://jepung.tistory.com 제풍 | 2007.11.11 23:57 신고 | PERMALINK | EDIT/DEL
직업병이라.. ㅎㅎㅎ :)
신종 샘플에 대한 프로세스가 간소화되지 않으면 기업시장에서 선전하기는 힘들 것 같은 생각이...

그리고 트랙백 보냈어~ ㅋㅋ
트랙백 이거 잼있네~
현수 | 2007.11.14 12:44 신고 | PERMALINK | EDIT/DEL | REPLY
Look&Stop 방화벽 사용하고 있는데요 알약 실행시키면 계속 UNKOWN 프로세스가 인터넷을 접속 시도합니다. 허용해줘도 다음번 실행때 또 UNKNOWN 프로세스가 접속 시도합니다. 이렇게 실행시킬때마다 계속 application filtering 항목이 늘어나면 Look&Stop 지저분해지는데 우찌해야 할까요;;
Favicon of http://jepung.tistory.com 제풍 | 2007.11.18 23:00 신고 | PERMALINK | EDIT/DEL
프로그램이 불안정해서 그럴겁니다.
그리고 정보 수집한다는 이야기를 본 것 같은데... 저도 확인하지는 못한 사항이구요.

언젠가는 좋아지겠죠.. :)
Favicon of http://sunfire.tistory.com 구름과나 | 2007.11.16 00:46 신고 | PERMALINK | EDIT/DEL | REPLY
알약의 부작용이 많습니다.
결국 알약은 PC지기이군요...
이스트소프트는 외국업체에 돈 퍼준 것 이외에는 한 것이 없네요.
Favicon of http://jepung.tistory.com 제풍 | 2007.11.18 23:01 신고 | PERMALINK | EDIT/DEL
UI는 만들었잖아요.. ㅋㅋㅋ
Favicon of http://xcoolcat7.tistory.com 쿨캣7 | 2007.11.17 11:34 신고 | PERMALINK | EDIT/DEL | REPLY
먼저 좋은 내용감사합니다. 내용 중에 조금 수정할 부분이 있어 적어봅니다. PC지기는 현재 페스트페트롤 엔진을 사용하고 있지 않습니다. 페스트페트롤이 CA에 인수되고 관계가 끝나고 현재 자체 안티스파이웨어 엔진을 사용하고 있습니다.
Favicon of http://jepung.tistory.com 제풍 | 2007.11.18 23:02 신고 | PERMALINK | EDIT/DEL
아.. 네에.. 제가 미처 몰랐던 부분이군요.
수정하도록 하겠습니다.

앞으로 자주 놀러 오세요.. 민석님~ :)
Name
Password
Homepage
Secret

티스토리 툴바