2014년 4월 30일 수요일

윈도우8 Windows Defender( MSE ) : 우클릭 메뉴검사 추가방법

윈도우즈 디펜더(Windows Defender) - 우클릭 메뉴 검사(Context menu) 추가 방법 (윈도우 8)

▶ 보안 관련 정보 및 팁 2013/02/12 08:30
       
윈도우8에 내장된 안티바이러스인 윈도우 디펜더에 우클릭 검사 기능을 추가하는 방법을 살펴봅니다.


마이크로소프트는 현재 MSE(Microsoft Security Essentials, 홈페이지)라는 개인용 무료 안티바이러스를 서비스하고 있습니다. MSE는 소규모 기업(10대 이하)에서도 무료로 사용이 가능하며 안정성이 높은 편에 속해 국내에서도 상당히 사용자가 많은 제품이기도 합니다.

특히 작년에 판매되기 시작한 윈도우8에는 기존의 윈도우즈 디펜더를 개선하여 MSE와 동일한 엔진, DB를 사용하게 하면서 사용자들이 안티 바이러스를 설치하지 않는 경우가 상당히 많아졌다고 봅니다.

윈도우8에서 MSE를 대신하는 윈도우즈 디펜더는 성능 상 MSE와 차이가 없다고 알려져 있으나 몇 가지 기능이 빠져 있습니다. 대표적인 것으로 예약 검사 기능과 우클릭 검사(Context menu Scan) 등은 윈도우즈 디펜더에서 사용할 수 없습니다. 일반적인 경우 많이 사용되는 기능이 아니긴 하지만 간혹 필요할 때가 있는 기능들입니다. 특히 우클릭 검사 기능이 없는 것에 아쉬움을 토로하는 사용자가 많은 것 같습니다.

이 글에서는 윈도우 8 기반 윈도우즈 디펜더에 우클릭 검사 기능을 추가하는 방법을 살펴보겠습니다.


1. 우클릭 검사 기능

우클릭 검사 기능을 추가하는 방법은 크게 두개의 방법이 있습니다. 알아두셔야할 점은 두 방법 모두 디펜더 메인 화면이나 검사창 화면을 통해 검사가 이루어지는 것이 아니라 커맨드라인 명령어 프로세스를 이용하여 백그라운드 검사를 하는 방식입니다.

따라서 CMD 창이 활성화되며, 세부적인 검사 과정이나 진단 결과 등을 곧바로 확인하기 어렵습니다. 세부적인 진단 로그를 보기 위해서는 추가적인 작업이 필요합니다.



1) 보내기 기능 이용하기


개인적으로 사용하는 방법입니다. 윈도우즈 우클릭 메뉴의 "보내기" 기능을 이용하는 것으로, 파일과 폴더를 구별하지 않고 개별적으로 검사할 수 있습니다.  또한 검사 결과를 바로 확인할 수 있으며, 적용 내역에 따라 로그 기록까지 한번에 불러 올 수 있습니다.

방법은 아주 간단합니다. 백그라운드 검사 명령어가 포함된 배치 파일을 만들어서 보내기 폴더에 저장하면 끝입니다. 이후 검사할 파일이나 폴더들을 선택 후 보내기 기능에서 배치 파일을 클릭하면 악성코드 검사를 시작합니다.

세부적인 방법은 아래와 같습니다. 먼저 메모장이나 기타 문서 편집 프로그램으로 아래의 문장을 기입 후 확장자를 "cmd"로 저장하여 배치 파일을 생성합니다.

@ECHO OFF
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File %1
PAUSE

저는 "Windows Defender Scan.cmd"라는 이름으로 저장을 했습니다. 배치 파일 생성이 어려운 분은 아래 파일을 다운받기 바랍니다.


배치 파일을 생성하고, 아래의 경로로 배치 파일을 복사해두면 "보내기" 기능을 우클릭 검사를 할 수 있습니다. (※ 윈도우8 기준)

C:\Users\*사용자 계정*\AppData\Roaming\Microsoft\Windows\SendTo

자 이제 검사를 원하는 파일 또는 폴더를 선택하고, 마우스 오른쪽 버튼을 눌러 아래와 같이 보내기 기능을 이용하면 악성코드 검사를 할 수 있습니다.

활성화되는 CMD창에서 보여지는 것들은 "검사 시작", "검사 종료", "악성코드 미발견, 발견" 등으로 아주 간단한 정보만을 보여줍니다. 아래 그림은 악성코드가 발견된 상황으로 "Found *발견숫자* threats" 라는 문구가 보이는 것을 확인할 수 있습니다.


또한 트레이 아이콘 메뉴에서 아래와 같이 관리 센터의 중요 메시지가 보입니다.

이를 클릭하면 아래와 같이 윈도우즈 디펜더 메인 화면이 활성화됩니다.
 
악성코드 처리하려면 "PC 정리"를 클릭하거나 "자세한 정보 표시"를 클릭하면 됩니다. "PC 정리는 기본 설정된 절차대로 악성코드를 처리하는데 일반적으로 "삭제"를 합니다. 이와 달리 "자세한 정보 표시"는 아래와 같이 사용자 처리 항목을 표시하여 줍니다. 개인적으로는 사용자가 실제 위협을 판단할 수 있고 "격리" 설정을 사용할 수 있는 후자를 추천합니다.

참고로 설정에서 검역소 저장 설정을 하지 않으면 "PC 정리" 기능으로 삭제된 악성코드는 복구가 불가능합니다.[각주:1]
 

앞서 언급한 것처럼 위와 같은 방법으로 우클릭 검사 기능을 이용하면 검사 내역에 대한 로그 기록이 따로 남지 않습니다. 물론 진단된 악성코드에 대한 처리 내역은 남습니다만, 세부적인 정보를 모두 알 수는 없습니다. 세부적인 로그 기록을 보기 위해서는 아래와 같은 명령어를 추가하여 캐시 기록을 덤핑하여 저장하도록 해야합니다.
@ECHO OFF
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File %1
"C:\Program Files\Windows Defender\MpCmdRun.exe" -GetFiles
explorer C:\ProgramData\Microsoft\Windows Defender\Support
PAUSE

역시 배치 파일을 만드시기 어려워하는 분을 위해 배치 파일도 올립니다.


위의 배치 파일을 통해 검사를 하면 아래와 같이 캐쉬 기록을 덤핑하여 로그 기록을 남깁니다.

로그 기록은 아래의 경로에 저장이 됩니다. (※ 윈도우 8 기준)

C:\ProgramData\Microsoft\Windows Defender\Support

업로드된 배치 파일을 이용할 경우 해당 경로의 폴더가 자동으로 열립니다.
 


일반적으로 진단 내역은 "MPDetection-***.log, MPLog-***.log"에 저장이 되어 있으며, 전체 내역은 "MPSupportFiles.cab"의 압축으 풀어서 내부 파일을 봐야합니다.


해보시면 아시겠지만 덤핑 과정이 꽤 깁니다. 따라서 특별한 경우 아니면 로그 기록 없이 검사하는 것을 추천합니다.

참고로 배치 파일인 "*.cmd" 파일에 파일이나 폴더를 마우스로 끌어오면 검사가 자동으로 이루어 집니다. 개인적으로는 전체 화면으로 탐색기를 이용하거나 다른 프로그램을 전체화면으로 두고 여러 개의 창들이 떠 있는 경우가 많아서 바탕화면 등에 저장된 cmd 창에 파일이나 폴더를 끌어오기가 귀찮은 경우가 많았습니다. 편한 방법을 선택하시면 되는데, 개인적으로는 보내기 기능을 이용하는 것을 추천합니다.



(2) 일반 우클릭 검사 기능 만들기


기본 방식은 첫 번째 방법과 동일합니다만 윈도우즈 폴더 항목의 쉘 항목을 수정하여 우클릭 메뉴가 따로 생성되는 방법입니다. 쉘 확장 레지스트리를 수정을 통해 콘텍스트 메뉴를 추가하는 방법으로, 이 방법에 대해서는 외국의 "thewindowsclub" 사이트에서 Reg 파일을 만들어서 제공하고 있습니다.


위 압축을 풀면 3개의 파일이 나오는데, 하나는 위 사이트의 바로가기 파일이고 나머지 두 개 파일이 REG 파일입니다. 원하는 기능에 따라 파일을 실행하여 레지스트리에 병합하면 됩니다.
(※ 관리자 권한으로  실행하시기 바랍니다.)

- 우클릭 검사 기능 추가 : Add-Windows-Defender-To-Folder-Context-Menu.reg
- 우클릭 검사 기능 삭제 : Remove-Windows-Defender-To-Folder-Context-Menu.reg

우클릭 검사 기능을 추가해보면 아래와 같이 우클릭 메뉴에 검사 항목이 추가된 것을 확인할 수 있습니다.


이 방법이 보통 사용자들이 원하는 방식의 우클릭 검사 기능이겠습니다만, 해당 기능은 몇 가지 단점이 있습니다.

첫 번째로 폴더에만 우클릭 검사 기능을 사용할 수 있습니다. 개별 파일을 선택하고 우클릭 메뉴을 열어봐도 위 검사 메뉴는 나타나지 않습니다. 두 번째로 검사가 끝난 후 cmd 창이 바로 닫혀 검사 내역에 대한 정보를 확인할 수 없습니다[각주:2].  이와 같은 단점 때문에 보기에 좀 더 깔끔해보이는 두 번째 방법보다도 첫 번째 방법을 사용하고 있습니다.




윈도우즈 디펜더의 우클릭 검사 기능을 추가하는 방법을 살펴봤습니다.

개인적으로는 테스트 목적으로 실시간 감시를 꺼놓고, 우클릭 검사 기능으로 진단을 테스트하는 경우가 많아서 우클릭 메뉴를 추가했습니다. 하지만 일반 사용자들에게 있어서 실시간 감시 기능이 제대로 동작 중이라면 우클릭 검사 기능은 별 의미가 없습니다. 우클릭 검사를 진행하기 전에 이미 실시간 감시 기능이 진단을 하기 때문입니다. 실제로 위 방법대로 우클릭 검사를 진행하다보면 실시간 감시가 진단하여 먼저 팝업이 뜨는 경우가 대부분입니다. 어찌보면 이런 이유 때문에 MS에서 이런 기본적인 기능을 추가하지 않은 것일지도 모릅니다.

다만, 압축 파일 검사[각주:3]를 한다던가, 특정 이유 때문에 실시간 감시 기능을 사용하지 못하는 경우에는 우클릭 검사 기능이 필요하다고 봅니다.

필요한 분들에게 도움이 되었으면 합니다.


- 이상입니다.
  1. 윈도우즈 자체 복구 기능으로 복구가 될 수 도 있습니다만, 여기서는 일단 논외의 사항이라 여기겠습니다. [본문으로]
  2. 물론 악성코드가 진단되면 트레이 아이콘에 표시가 됩니다. [본문으로]
  3. zip 등은 윈도우즈 디펜더에서도 내부 파일을 검사할 수 있습니다. 게다가 압축 파일 내의 개별 파일 삭제도 가능합니다!! [본문으로]
출처 : http://arrestlove.tistory.com/655

댓글 없음:

댓글 쓰기