악성코드 샘플 분석 환경 구성

1. VMware Workstation 설치

1) VMware 사이트에서 VMware Workstation 17 Pro 다운로드 및 실행.

 

2) 'Next' 클릭하여 설치 진행.

 

3) 약관 동의 후 'Next' 클릭하여 진행.

 

4) Enhanced Keyboard Driver 항목 체크하면 더 원활한 사용이 가능함. 'Next' 클릭하여 진행.

 

5) 두 항목 다 체크하지 않아도 무방함. 'Next' 클릭하여 진행.

 

6) 원하는 대로 설정하고 'Next' 클릭하여 진행.

 

7) 'Install' 클릭하여 진행.

 

8) 설치 진행.

 

9) 'Finish' 클릭하여 마침.

 

10) 'Yes' 클릭하여 다시 시작.

 

11) 설치 완료.

 

12) 30일 체험으로 사용하거나, 가지고 있는 license key를 입력하여 진행.

 

13) VMware Workstation 17 Pro의 초기 화면.

 

2. 가상 머신 생성 및 Windows 7 설치

1) 'Create a New Virtual Machine' 클릭.

 

2) 'Next' 클릭하여 진행. ('Custom'을 원할 경우 'Custom'으로 진행)

 

3) 'Installer disc', 'Installer disc image file (iso)', 'I will install the operating system later' 중 해당되는 방식 선택 후 진행.

 

4) 'Full name' 란에 원하는 이름을 입력하고 'Next' 클릭하여 진행. 다른 항목은 입력하지 않아도 무방.

 

5) 'Yes' 클릭하여 진행.

 

6) Virtual machine name은 나중에도 변경 가능함. 'Location'의 위치에 해당 Virtual machine을 파일로 저장.

 

7) 'Split virtual disk into multiple files'로 해야 하는 특별한 이유가 없다면, 'Store virtual disk as a single file'로 하는 것이 어느 정도 성능 향상에 도움이 됨.

 

8) 'Finish' 클릭하여 Virtual Machine 생성 시작.

 

9) Windows 7 설치 진행.

 

10) 이어서 VMware Tools 설치까지 완료해야 보다 원활한 사용이 가능. 다만 보안 업데이트가 먼저 이루어져야 VMware Tools 정상 설치가 가능하기 때문에 보안 업데이트를 먼저 진행해야 함. (네트워크 연결 확인 > Chrome 설치(다른 브라우저로 진행해도 됨) > 보안 업데이트 > VMware Tools 설치의 순서로 진행)

 

3. 네트워크 연결 확인

제어판 > 네트워크 및 인터넷 > 네트워크 및 공유 센터에서 네트워크 연결 확인.

 

4. Microsoft Update 카탈로그

1) Microsoft Update 카탈로그에서 '2019-09 x64 기반 시스템용 Windows 7 보안 업데이트(KB4474419)' 검색 및 다운로드.

 

2) 보안 업데이트 설치.

 

5. VMware Tools 설치

1) 보안 업데이트 설치 이후 해당 가상 머신 탭을 우클릭했을 때 'Install VMware Tools...'가 비활성화되어 있다면, Windows 7 시스템 종료 후 가상 머신을 다시 실행.

 

2) 다시 확인해 보면 활성화되어 있는 것을 볼 수 있음. 클릭하여 설치 진행.

 

3) VMware Tools 설치 진행.

 

6. 폴더 공유

1) 파일을 옮길 때는, Drag & Drop으로 옮기는 방법이 있고 폴더 공유 기능을 이용한 방법이 있음. 폴더 공유를 하려면 우선 공유할 폴더를 우클릭하고 '속성'을 클릭.

 

2) '공유' 탭 클릭 > '고급 공유' 클릭.

 

3) '선택한 폴더 공유' 체크 > '권한' 클릭.

 

4) '모든 권한', '변경', '읽기' 3 항목 모두 허용 체크 및 적용.

 

5) VMware Workstation의 'VM' 탭 > 'Settings...' 클릭.

 

6) 'Options' 탭 > 'Shared Folders' > 'Always enabled' 체크 > 'Add...' 클릭.

 

7) 'Next' 클릭하여 진행.

 

8) 'Browse...' 클릭하여 공유할 폴더 선택하고 'Next' 클릭하여 진행.

 

9) 'Finish' 클릭 및 마무리.

 

10) 네트워크 > 'vmware-host' > 'Shared Folders'에서 확인할 수 있음.

 

7. 스냅샷

스냅샷은 해당 시점을 저장하여 필요할 때 저장한 시점으로 돌아갈 수 있는 기능으로, 반복 분석에 사용.

1) 'VM' 탭 > 'Snapshot' > 'Take Snapshot...' 클릭.

 

2) 이름 및 설명 입력 후 'Take Snapshot' 클릭하여 생성.

 

3) 'VM' 탭 > 'Snapshot'에서 생성된 스냅샷을 확인할 수 있음.

 

8. 종료

1) 시스템 종료로 가상 머신 종료.

 

2) 'File' 탭 > 'Exit' 클릭하여 VMware Workstation 종료.

 

9. 진행이 안 되는 경우

진행이 안 되는 경우, 아래 세 방법을 통해 해결을 시도해 볼 수 있음.

 

1) 메모리 무결성 끔 > 다시 시작

 

2) 'Windows 기능 켜기/끄기'에서 'Windows 하이퍼바이저 플랫폼', '가상 머신 플랫폼' 체크 해제 > 다시 시작

 

3) 레지스트리 편집기의 '\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard'에서 'EnableVirtualizationBasedSecurity'를 '0'으로 설정 > 다시 시작