1. 개요

MDS 는 확인되지 않은 실행 파일에 대해 파일 실행을 보류시키는 '실행 보류(Execution Holding)' 기능을 제공하여 호스트의 안전한 운용 환경을 제공합니다.

이를 통해 최초 감염에 대한 피해 예방 및 대응이 가능합니다.

2. 기능 정의

• 정상 / 악성 여부가 확인되지 않은 파일의 실행을 보류(방지)합니다.
• 정상 파일은 정상적으로 실행되며 악성 파일은 MDS Agent 에 의해 차단됩니다.

3. 기능 설명

• 정상 / 악성 여부에 따라 MDS Agent 가 동작하는 방식은 아래와 같습니다.
  
  
  • 알려진 정상 파일은 정상적으로 바로 실행합니다.
  • 알려진 악성 파일은 MDS Agent에 의해 바로 차단합니다.
  • 
  •            <MDS Agent에 의한 악성 파일 실행 차단>
    
    
  • 알려지지 않은 파일은 MDS 에서 분석이 완료된 후, 분석 결과(정상/악성)에 따라 동작합니다.
  • 알려지지 않은 파일을 MDS 에서 분석하는 동안은 '대기 시간 초과 시'의 설정에 따라 동작합니다.

     

• MDS Agent는 V3와 같은 AV(Anti-Virus) 와 달리, 별도의 엔진을 가지고 있지 않습니다. 따라서 파일 실행 보류가 동작하면 MDS Agent 가 자체적으로 파일을 진단하는 것이 아니라 MDS로 해당 파일에 대한 정보를 질의하거나 파일을 업로드한 후 분석 결과를 회신 받아 진단합니다.
  
  
  • 따라서, 파일 실행 보류 조건에 부합하는 파일은 정상/악성에 관계 없이 모두 MDS로 질의 및 진단 결과 회신 후, 실행/차단 여부가 결정되는 구조입니다.
  • 단, 에이전트 캐시를 사용 하는 경우에는 예외입니다. 특정 파일에 대한 정보를 에이전트 캐시로 보유하고 있는 경우 MDS 로 질의하는 과정이 생략됩니다. MDS로 질의하기 전에 로컬 캐시를 먼저 확인하기 때문이다. 반대로, 실행하고자 하는 파일에 대한 Agent 캐시가 없다면, MDS로 질의하게 됩니다.