오늘은 색다른 Anti - Malware Tool을 하나 소개해드립니다 .

미리 말씀드리면 저의 개인적인 소견으로는 이 도구를 실시간 감시로써 항상 구동 시키는 것은 추천드리고 싶지는 않습니다 .

그러나 컴퓨터가 수상스러울 때 한번쯤은 응용해 볼 수 있는 도구로써
또 특이한 도구라 소개해드려 봅니다 .

 ThreatFire 홈페이지입니다 .

http://www.threatfire.com/

 고지 : ThreatFire는 개인사용자가 비영리적 목적으로 사용할 때만 무료입니다 .



ThreatFire 는 PC Tools에 의하여 제공되는 도구입니다 .

ThreatFire는 기본적으로 시스템을 스캔하지 않는다고 합니다 .

그 이유는 ThreatFire는 signature기반의 진단을 하지 않고 ,
행동 기반의 진단을 하기 때문이랍니다 .

ThreatFire는 행동 기반으로 진단된 알려지지 않은 위협이라고 생각되는 것에
대하여는 보고하고 사용자의 선택에 따라 격리하기 또는 그냥 격리하기 옵션을 제공하고

이미 PC Tools가 진단하는 malware들에 대하여는 보고하고 격리하기
옵션을 제공합니다 .

ThreatFire는 Command Line  Scan 도구를 제공하지 않는데 ,
그 이유는 ThreatFire는 Activation된 의심스러운 것만 진단하는
프로세스로 진단을 하기때문이라고 합니다 .

ThreatFire를 보다 보면 스캔 도구가 있긴 한데
그 것은 hidden files와 Rootkit을 검색하기 위한 스캐너이며
만약 시그니쳐 진단 기반의 전통적인 스캔을 원한다면
ThreatFire내 메뉴에서 PC Tools 백신을 다운로드 설치해야 합니다 .
(PC Tools의 무료 백신은 구글팩에서도 다운로드가 가능합니다 .)

PC Tools의 보고에 따르면 
ThreatFire는 대다수의 타백신의 실시간 감시와 충돌하지 않으면서
그들을 보충해주는 역활을 하여 진단율을 높여준다고 합니다 .

이제 스크린 샷들을 보아가면서 간단한 설명을 더하여 보겠습니다 .

ThreatFire 메인창입니다 .

Start Scan 섹션입니다 .
Rootkit 스캔이 가능하고 PC Tools 무료 백신이 다운로드 가능합니다 .
참조하실 점은 루트킷 스캔이 루트킷만 찾아내지는 않는다는 점입니다 .

임시 인터넷 폴더나 시스템 Temp 폴더에서 잘 지워지지 않는 파일들도 찾아냅니다 .

Threat Control 섹션입니다 .
ThreatFire가 경고를 내보냈을 때 사용자가 어떠한 조치를 취했는가
기록을 남겨 놓는 곳입니다 .

Advanced Tool 섹션입니다 .
Advanced rule setting>Custom Rule Settings를 누르면 아래 같은 창이 뜹니다 .


①에서는 ThreatFire가 감시하지 않을 신뢰된 프로세스 등록을 할 수가 있습니다 . 
②는 호스트 파일 변조를 감시하는 옵션입니다 .
③은 프로그램의 설치나 설치된 프로그램의 실행을 감시하는 옵션입니다 .
④는 프로세스가 네트워크에 접속하려는 것을 감시하는 옵션입니다 .
⑤는 확장자를 숨긴 파일 , 즉 , jpg 확장자를 보여주는데 실재로는 excutable로 작동하는
   파일 같은 것이 실행될 때 경고를 보이는 옵션입니다 .
⑥은 이메일이나 브라우저를 통해 화면 보호기가 설치될 때 경고를 보이는 옵션입니다 .
   요즘 네이트온 악성코드들이 주로 화면 보호기 형태로 침투하죠 ..... 

위 옵션들은 기본 옵션이며 사용자는 창의 오른쪽에 보이는 스위치들을 이용해
새로운 룰을 추가하거나 기존 룰을 폐기할 수 있습니다 .

Advanced Tool>System Activity monitor를 통해 여러 정보를 보실 수 있는데
인상적인 것은
Process explorer에서는 볼 수 없는 보호된 프로세스의  Module도 보인다는 것입니다 .
AYAgent.aye같은 경우는 Process explorer에서는
그 라이브러리(모듈)들을 볼 수 없습니다 .

Advanced Tool>System Activity monitor를 통해 볼 수 있는 것은
아래 빨간 박스와 같습니다 .


Settings 섹션입니다 .

신경 쓸 것은 두가지인데

우선 Defalt Actions는 위 그림에서 보이듯 기본 설정으로 하시는 것이 좋겠습니다 .
의심스러운 행동이나 원치 않을 프로그램 설치에 대하여 경고를 보고(Prompt Me)
격리 할 것인지 허용할 것인지 판단하는 것이
혹시나 모를 격리로 인한 시스템 에러를 줄이는 길일터이니까요 ......

맨 아래의 것은 알려진(즉 , PC Tools 백신이 진단하는)
악성코드 검색시 취할 행동인데 이란에는
격리 또는 격리후 알려줌 두가지 옵션만이 있습니다 .

Community Protection이란 내 컴퓨터에서의 의심스러운 행동을
ThreatFire 서버로 전송해줌으로써 다른 사용자가 같은 위협을 받을 때
보호받을 수 있게 데이타 베이스를 늘려주는 것인데 ,
내 정보를 보내는 대신 다른 사용자가 보낸 정보를 이용해 
내 시스템도 보호받을 수 있다는 개념입니다 .

내 시스템 정보가 조금이라도 나가는 것이 싫으신 분들은 꺼두셔야겠습니다 .
(기본은 on입니다 .)
 
모두에 말씀드렸지만 ,
ThreatFire의 실시간 감시를 계속 켜두는 것은 저 개인적으로는 권장하지 않습니다 .

그러나 시스템이 감염으로 인해 이상한거 같은데
그 원인이 잘 안밝혀질 때 한번쯤 Apply해볼만한 도구로 보입니다 .

단 , ThreatFire가 내보는 경고를 이해하지 못해 판단하기 힘든 사용자 ,
오진으로 인한 피해에 대처할 수 없는 사용자들께서는
사용하지 마시기 바랍니다 .

물론 , PC Tools에 따르면 ThreatFire는 거의 오진을 않는다고 합니다만 ,
오진은 어느 백신이든지 할 수 있는데 ,
ThreatFire는 행동 기반이므로 위험성이 약간은 더 있다고 보입니다 .

이 ThreatFire란 도구는
아마도 PC Tools의 진단율을 높이는데도 기여하는 도구로 보입니다 .

여담입니다만
ThreatFire는 어쩌면 안철수연구소가 서비스를 제공중인 게임 사이트들에서 구현하는
memory heuristic과도 비슷한 것이 아닐까도 생각이 듭니다 .
(제가 게임을 거의 안해서요 .........)

만약 비슷한 것이라면
안철수연구소도
진단은 하되 처치는 않고 , 안철수연구소로 보고하도록 해 
엔진 업데이트에 반영해주는 그러한 도구를
배포하고 , 또 각 제품에 포함시키면 어떨까 한번 생각해 봤습니다 .......

그렇게 하면 V3의 검색률이 더 높아질 수 있는 방안이라고 보입니다 .

한국인이기에 안철수연구소의 위상이 세계적으로 높아지기를 바라는
개인 사용자로서 글을 줄이기 전에 여담을 남겨 보았습니다 .
 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

댓글을 달아 주세요