악성코드를 분석 할 때 가상화 환경을 지원해주는 소프트웨어인 VMWare나 VirtualBox가 중요한 부분을 차지합니다. 특히 악성코드에 대한 동적 분석(Dynamic Analysis)를 진행 한 후에 감염된 윈도우 환경을 다시 빠르게 감염 이전의 초기 상태로 복원 시켜줌으로 분석 전반에 걸쳐 분석 시간을 단축 시켜주는 장점이 존재 합니다.
2002년 처음으로 악성코드 분석 업무를 담당할 때에는 이러한 가상화 소프트웨어가 없어 실제 윈도우 시스템에 노턴 고스트(Norton Ghost)를 설치하여 초기 이미지를 생성한 후 악성코드의 동적 분석을 진행 한 후 다시 초기 이미지로 복원하는 작업을 반복 하였습니다. 이러한 과정은 가상화 소프트웨어에 비해 상대적으로 시간 소요도 많을 뿐만 아니라 새로운 분석 툴을 설치하는 경우에는 다시 초기 이미지를 생성해야 되는 번거로움도 존재하였습니다.
그 이후에는 노턴 고백(Norton GoBack)으로 초기 이미지가 아닌 감염되기 이전 시점으로 복원을 하기도 하였습니다만, 아무래도 소프트웨어다 보니 악성코드 감염으로 인해 정상적으로 복원이 되지 않는 경우도 발생 하였습니다.
이렇게 편리한 가상화 환경이 악성코드 분석과 자동 분석에 많이 쓰여진다는 것이 알려진 이후에는 악성코드의 감염 환경이 가상화 인지 확인하는 코드들이 악성코드에 추가되기 시작하였습니다. 그래서 현재에는 실제 윈도우 시스템과 VMWare에 생성한 가상 윈도우 시스템 환경 이렇게 2개를 번갈아 가며 악성코드 분석에 사용하고 있습니다. 하지만, 대부분의 악성코드 분석 작업은 VMWare에 존재하는 가상 윈도우 시스템 환경을 이용하고 있습니다.
그래서 작년 12월 새롭게 노트북을 구매 한 이후 악성코드 분석 환경을 구축하기 위해 VMWare에 어떻게 윈도우 XP 환경을 설치할까 고민하는 과정에서 구글 검색을 통해 "Using Free Windows XP Mode as a VMware Virtual Machine"라는 좋은 블로그를 찾을 수 있었습니다.
Windows XP Mode는 윈도우 7 운영체제가 하위호환을 유지하기 위해 마이크로소프트(Microsoft)에서 별도의 윈도우 XP SP3 가상화 환경을 제공 해주는 것입니다만, 모든 윈도우 7 버전에서 설치가 가능한 것은 아니고 Professional, Ultimate와 Enterprise 이 3가지 버전에 한해서만 가능 합니다.
사용하는 환경이 윈도우 7이고 위 3가지 버전 중 하나라면 Windows XP Mode에서 정품 인증을 받은 후 WindowsXPMode_ko-kr.exe(558.4 MB), WindowsXPMode_K_ko-kr.exe(558.4 MB) 또는 WindowsXPMode_KN_ko-kr.exe(534.4 MB) 중 하나를 다운로드 할 수 있습니다.
다운로드 한 Windows XP Mode 설치를 완료하였다면, 이제는 VMWare를 실행 한 후 아래 이미지와 같이 VMWare의 "File" 메뉴에서 "Import Windows XP Mode VM"를 클릭 합니다.
그 후 VMware에서 아래 이미지와 같이 "VMWare vCenter Converter Standalone"이 필요하다는 팝업창을 보여주는데, "Yes"를 클릭하여 설치를 진행 합니다.
"VMWare vCenter Converter Standalone" 설치가 완료되었다면, 바탕화면에는 아래 이미지와 같이 "VMWare vCenter Converter Standalone Client"가 생성됩니다.
그렇다면 이제 다시 VMWare의 "File" 메뉴에서 "Import Windows XP Mode VM"를 클릭 하면, 아래 이미지와 같이 VMWare에 생성할 새로운 가상 환경의 명칭과 설치 경로를 지정 하는 팝업창이 생성됩니다.
여기에서 "Import"를 클릭하면 Windows XP Mode가 VMWare에 의해 변환이 진행되기 시작합니다.
변환 작업이 완료되면 아래 이미지와 같이 VMWare의 새로운 탭으로 "Windows XP Mode"가 생성된 것을 볼 수 있습니다.
새로 생성된 "Windows XP Mode" 탭의 가상 윈도우 환경을 실행하면, 이후에는 일반적으로 VMWare에 윈도우 XP 설치 CD를 이용하여 설치하는 과정과 동일하게 진행 됩니다. 다만 조금 다른 부분이 있다면, 라이센스에 필요한 CD-Key를 입력하는 단계가 없다는 것 정도 입니다.
설치 이후 특이점으로는 VirtualBox에서도 사용 가능한 OVF(Open Virtualization Format)으로 내보내기(Export)가 되지 않으며, Windows XP Mode가 설치되어 있지 않은 다른 윈도우 시스템의 VMWare에서는 설치 경로에 존재하는 "Windows XP Mode.vmx" 파일과 나머지 데이터 파일들을 읽어 올 수가 없다는 것 입니다.
이러한 사항들은 윈도우 라이센스와 관련된 사항이 아닌가 생각됩니다. 그래서 최초 윈도우 8.1 환경에서 Windows XP Mode를 VMWare에 설치하는 방법 역시 같이 다루고자 하였으나, 라이센스 문제가 있을 것 같아 다루지 않기로 하였습니다.