OSArmor 예외(Exclude Processes) 항목 추가하는 방법
<[통계]에서 마지막으로 차단된 프로세스를 확인할 수 있다> |
사용자 모르게 차단된 프로세스는 로그 파일에 기록되어 있다
「사용법만 알면 최고의 무료 안티-랜섬웨어 프로그램 ~ OSArmor 한글판」에서 미처 설명하지 못한 것이 있었는데, 바로 [Exclude Processes(예외 항목)]을 추가하는 방법이다. 특정 프로세스를 ‘예외’로 설정하는 방법은 그렇게 어렵지는 않지만, OSArmor는 여타 안티-바이러스 • 안티-랜섬웨어와는 달리 프로그램 설정 방법이 그렇게 친절하지는 않다.
OSArmor는 [Configurator(구성)]에 있는 [Configure Real-Time Protections(실시간 보호 구성)]에 미리 사전 정의된 규칙(예, 주요 보호, Anti-Exploit 등등에 열거된 규칙 중에서 체크 표시된 것들)으로 차단된 프로세스 전부를 사용자에게 알리는 것은 아니다. 일부는 알림 창을 제공하고, 그 알림 창에서 바로 [Exclude(예외)] 설정을 할 수 있을 때도 있지만, 그렇지 않고 조용히 넘어가는 때도 있다. 어떤 경우는 알림 창을 띄우고, 어떤 경우는 알림 창을 띄우지 않는 것은 OSArmor의 버그인지, 아니면 OSArmor가 분별력을 발휘해서 위험도가 높고 낮음에 따라 알림 창을 띄울지 말지를 적절하게 안배하는 것인지 알 수는 없지만, 아무튼 사용자가 프로그램을 실행했는데 작동하지 않는다면, OSArmor의 로그 파일을 확인할 필요가 있다. 로그 파일에는 어떤 프로세스가 어떤 규칙에 따라 차단되었는지 상세히 기록되어 있다.
아래는 Nox 앱플레이어를 처음 실행했을 때 OSArmor가 사용자에게 알리지 않고 자동으로 차단한 세 번의 로그 기록 중 한 대목을 그대로 옮긴 것이다. 빨간색으로 강조한 부분을 유의하자. Process, Command-Line, Parent 이 세 항목은 예외 처리할 때 필수 입력 사항이다.
<녹색칸 안에 있는 차단된 항목을 예외(Exclude Processes)에 추가해 보자> |
Date/Time: 2020-03-19 오후 12:55:52
Process: [10356]C:\Windows\SysWOW64\sc.exe
Process MD5 Hash: 293A38365BEE67829AE093D10BF4BC85
Parent: [6128]Y:\Program Files\Nox\noxvm\NOXVM.exe
Rule: BlockSuspiciousCmdlines
Rule Name: Block execution of suspicious command-line strings
Command Line: "C:\Windows\system32\sc.exe" start COMSysApp
Signer:
Parent Signer: Nox Limited
User/Domain: yangkh/BLUE
System File: True
Parent System File: False
Integrity Level: High
Parent Integrity Level: High
OSArmor 로그 파일이 있는 폴더는 OSArmor GUI에서 [로그 폴더 열기]를 선택하거나,
\NoVirusThanks\OSArmorDevSvc\Logs 폴더를 확인하면 된다
예외 프로세스 추가하기
Nox 같은 경우는 처음 실행했을 때 세 번의 로그 기록을 남겼다 고로 세 번의 프로세스가 차단되었다는 의미인데, 신기한 것은 뭔가가 세 번이나 차단되었음에도 프로그램을 사용하는데 지장이 없었다는 것이다. 이로 미루어보면, 여타 프로그램들이 쓸데없이, 혹은 필요 이상으로 시스템을 건드리는 경우가 빈번하다는 것을 짐작할 수 있다.
OSArmor를 잘 다룰 줄 알면 프로그램이 구동하는데 필요한 최소한의 권한이나 프로세스만 허용함으로써 Windows를 보호하고, 리소스가 낭비되는 것을 예방할 수 있다
<예외 추가에 필요한 모든 정보는 로그 파일에 있다> |
예외 항목에 프로세스를 추가하려면 OSArmor GUI 화면에서 [Manage Exclusions(예외 관리)]를 클릭해 [NoVirusThanks OSArmor Exclusions Helper(NoVirusThanks OSArmor 예외 도우미)] 창을 띄운 다음 필요한 사항을 입력하면 된다. 이때 반드시 필요한 정보는 앞에서 빨간색으로 강조한 Process, Command-Line, Parent Process 세 항목이다. 나머지 필드는 채워도 그만 안 채워도 그만이다.
예외로 추가한 프로세스를 삭제하려면 예외 항목을 관리하는 파일인 Exclusions.db 파일을 직접 수정해야 한다. Exclusions.db 파일은 OSArmorDevSvc 폴더에 있으며 간단하게 메모장으로도 수정할 수 있다.
<오늘 추가한 예외 항목이 Exclusions.db에 기록되어 있다> |
0 comments:
댓글 쓰기
댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요