인간중심의 현대사회에서는 무엇보다 사람이 불편함을 느끼지 않는 다시말해서 무엇이든 간편한 과정을 거쳐 편함을 찾는것이 가장 중요한 목표로 자리매김 하고있다. 유비쿼터스화 되고 있는 현재 또는 미래의 정보통신 환경에서는 사회적으로나 개인적으로나 그 중요도에 대해 더이상 설명이 필요없을 정도가 될 것이다.

요즘 사회적으로 이슈가 되고 있는 악성코드인 Stuxnet 웜을 예로 들어보면 감염 시 주요 정보통신기반 시설에 막대한 악영향을 끼쳐 사회적으로나 개인적으로나 엄청난 피해를 입게 할 수 있다. 

굳이 이런 커다란 예를들지 않아도 요즘 개인정보에 대한 중요도나 이를 금전적 목적을 가지고 접근하여 정보통신 환경을 악용해 자신의 이익을 챙기려는 집단이 점점 많아지고 있으며, 그 피해가 더이상 방치할 수 없는 수준에 다다르고 있다.

물론 이러한 악성코드에 대한 대처로 민간 백신기업들이나 국가차원에서 선도하여 사전방역 조치 및 대처방안을 제공하고 있으나, 이번글에서는 개개인이 이러한 악성코드에 대한 기초적인 대처방법 및 그에 따른 기본적인 툴 몇가지에 대한 사용방법을 설명하고자 한다.

우선 악성코드는 사용자들이 알아채기 힘들게 Background 에서 동작하는것을 기본으로 한다. 일반 개개인의 PC에서 감염되는 대다수의 악성코드가 이러한 동작원리를 보이며, 일반 사용자가 느끼기에 알 수 없는 오류(PC사용이나 인터넷 사용등의 속도가 현저하게 느려지는 현상)를 발생시키거나 사용자가 원하는 특정 작업에 어려움(온라인 게임등 특정 프로그램 사용 및 인터넷 뱅킹등의 사용 불가능 현상)을 초래하게 한다.

이때 사용자가 대처할 수 있는 방안으로는 사용중인 백신이 있다면 이를 이용하여 간단하게 진단/치료를 진행해 PC를 정상 시스템으로 되돌리거나, 최악의 경우에는 PC에 대한 포멧작업을 진행하는 경우가 있다. 물론 백신을 이용하더라도 신종이나 변종 악성코드가 등장하게 되면 백신으로 진단 자체가 어려운 경우도 상당수다. 이러한 경우 아래와 같은 간단한 툴을 이용하여 사용자 본인이 직접 악성코드에 대해 대처 할 수 있는 방안을 지금부터 살펴보도록 하겠다.

◆ 악성코드의 대한 대처에 필요한 기본툴 및 사용법.

악성코드 감염등에 대처하기 위해서는 기본적으로 자신의 PC에 어떠한 프로그램(Process)들이 구동되고 있으며, 또 이러한 프로그램들이 어떠한 등록값(레지스트리값)에 의해 동작중인지 파악을 할 수 있어야 한다. 이때 도움이 될 수 있는 매우 기본적인 몇가지 툴이 존재하며, 아래와 같이 각 툴에 대한 활용방안에 대해 설명하겠다.

1. Process Explorer 활용편

  - 각종 Process 확인과 및 제어 용도로 사용 할 수 있는 기본적인 툴이다.
  - 작업 관리자와 유사하며 좀더 자세한 정보를 편리한 UI를 통해 사용자에게 제공하여 준다.
  - 다운로드 URL :
 
http://technet.microsoft.com/ko-kr/sysinternals/bb896653(en-us).aspx


Process Explorer는 사용자의 PC상에 구동중인 모든 Process 및 각 Process하부의 Injection, Handle 파일에 대한 정보를 위와같이 간단한 UI를 통해 제공한다.


                                    <패스워드 스틸러류 악성코드 감염 화면>

위의 그림과 같이 녹색과 적색박스의 Description(모든파일의 속성, 버전탭에 존재하는 설명부분)등이 누락되어 있는 파일들은 우선적으로 의심대상의 파일로 간주할 수 있다.(일반적으로 보통의 악성코드들이 Description 부분에 대한 값을 입력하지 않는다.) 상기와 같이 일정 정보값등이 누락되어 있거나 사용중이던 파일이 아닌 사용자 몰래 생성된 파일들은 정상 악성코드일 확률이 높으며, 해당 항목의 파일이 어떠한 내용을 가지고 있는지 더블클릭만으로도 일정 정보에 대한 확인이 가능하다. 

보통 악성코드들은 숙주파일이 실행되면 자신은 삭제되면서 자신의 복사본을 생성 및 실행 후 특정 기능을 수행 할 수 있는 파일들을 위의 그림과 같이 정상 혹은 악성코드 Process에 Injection 및 Handle 시키는 경우가 많다.

※ Injention, Handle의 특징.

Injection : 파일 이동/복사 가능, Process Explorer상에서 파일을 직접적으로 제어 불가능.
Handle : 파일 이동/복사 불가능, Process Explorer상에서 파일을 직적적으로 제어 가능.

위 그림의 경우 explorer.exe Process에 anszxc.dll 파일이 Injection 되어있는 것을 확인 할 수 있다. Injection의 특성상 파일에 대한 기능을 완전히 상실 시키기 위해서는 해당 파일이 Injection되어 있는 Process를 종료시킨 후 재실행이 필요하다. 


또한, 파일이 Injection 형태가 아닌 특정 프로세스등에 Handle되어있는 경우 Process Explorer 상단의 메뉴중 "Find" 항목의 "Find Handle or DLL..."(Ctrl+F)를 이용하여 찾아낸 후 해당 파일에 대해 위 그림과 같이 마우스 우클릭 후 Close Handle 명령을 통해 한번에 직접적으로 떼어내어 동작을 끊을 수 있다.

만일 사용중인 백신이 위와같이 확인 및 발견된 악성코드 의심파일을 진단하지 못 할 경우 Process Explorer 상에서 해당파일의 위치를 알 수 있으므로 경로를 추적하여 악성코드 의심파일을 채취 후 백신 업체등에 신고한다면 추후 백신에 의한 안전한 치료를 진행할 수 있으며, 백신에 의해 재감염 확률 또한 낮출 수 있다.

※ 악성코드 의심파일 채취 시 실행기능을 막기 위하여 확장명을 변경하는것이 좋다.
예) test.exe -> test.exe_

정상파일, 악성코드 모두 일반적으로 Process는 단일적인 구조로 이루어지나 위의 그림과 같이 정상파일의 경우 Process 시작 시퀀스등에 의해, 악성코드의 경우는 제작자의 의도에 의해 Tree 구조로 구성되는 경우가 있다.
(상기 그림의 Procexp.exe, explorer.exe Process구성 참조)


Process 구도가 Tree 형태로 이루어져 있을 경우 위 그림과 같이 Kill Process Tree 를 이용하여 한꺼번에 종료시킬 수 있다. 이 기능은 정상파일의 경우 효율성이 떨어지나 악성코드의 경우 Tree 구조로 이루어져 있을 경우 악성코드 Process 를 일괄 종료시키지 못하면 종료되지 않고 남아있는 악성코드가 종료된 Process 를 재실행 시켜주는 경우가 있기때문에 효율적으로 사용할 수 있는 기능이다.


※ Process Explorer는 위 그림과 같이 Process 엔트리들의 특징 및 용도에 따라 각각의 색으로 구분되어 표시된다.
   (Options -> Configure Highlighting 에서 인덱스 수정가능.)

 - 흰색(무색) : 시스템 영역의 프로세스
 - 초록색 : 프로세스 실행
 - 빨간색 : 프로세스 종료
 - 분홍색 : 서비스단 프로세스
 - 파란색 : 사용자단 프로세스
 - 보라색 : 패킹된 이미지의 파일

2. Autoruns 활용편

 - 각종 중요 레지스트리에 대한 제어 및 관리가 편리 할 수 있도록 간단한 UI를 통해 정보 제공.
 - 다운로드 URL : http://technet.microsoft.com/ko-kr/sysinternals/bb963902(en-us).aspx


- 각 색션별 기능

  1) Everything : 모든 색션에 대한 정보값을 보여준다.
  2) Logon : 윈도우가 시작될 시 시작 프로그램 폴더 및 레지스트리 상에서 Run값에 등록된 항목들을
             보여준다.
  3) Explorer : 쉘 확장, BHO, Explorer toolbar 등의 정보를 보여준다.
  4) Internet Explorer : BHO 와 Internet Explorer 툴바가 표시된다.
  5) Schedules tasks : 작업 스케줄에 구성된 정보를 보여준다.
  6) Drivers : 모든 커널 모듈 드라이버를 보여준다.   
  7) Boot Excute : 부트 프로세스 초기 동작에 실행되는 프로그램 정보를 보여준다.
  8) Image Hijacks : 명령어 또는 특정 파일명과 해당 명령어나 파일명으로 실행될 수 있는
                     파일에 대한 정보를 보여준다.
  9) AppInit : HKML\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 의 정보를
                     보여준다.
  10) Known DLLs : HKLM\SYSTEM\CurrentControlSet\Control\Session\Manager \KnownDLLs 의 정보를
                          보여준다. 또한, 이곳에 등록된 Dll 파일들은 시스템이 부팅될 시 메모리로 로드된다.
  11) Winlogon : 윈도우 부팅 시 Winlogon 과정을 거친 후 로드되는 값들에 대한 정보를
                 보여준다.
  12) Winsock Providers : Winsock protocols 와 Winsock service providers 들을 보여준다.
                          삭제는 가능하나 사용안함은 불가능하다.
  13) Print Monitors : 프린트 스풀링 서비스에 로드되는 DLLs를 보여준다.
  14) LSA Providers : LSA(local security authority), 알림 및 보안 패키지에 등록된 정보를
                      보여준다.



Process Explorer와 마찬가지로 Autoruns역시 Description 등의 정보가 누락되어있는 경우 의심파일로 간주해도 좋다. 악성코드는 자신의 생존성 확보를 위하여 스스로 생성한 파일들을 특정 레지스트리에 등록시켜 부팅 시 혹은 스케쥴링에 의해 지속적인 재감염을 유발시킨다.

악성코드가 주로 자신 혹은 생성파일을 등록하는 레지스트리 부분은 위 그림과 같이 주로 Logon 탭의 Run 키값 혹은 Userinit 키값 부분이다. 이곳에 자신을 지속적으로 실행시켜줄 파일에 대한 레지스트리 값을 등록하여 부팅 시 시작프로그램으로 혹은 사용자의 기본환경을 초기화 시켜주는 Userinit 부분에 특정 값을 첨부하여 함께 실행될 수 있게 하는것이다.

또한, 악성코드는 때때로 자신의 생존성 확보를 위하여 자신 혹은 복사본의 파일명을 userinit.exe 와 같은 정상 파일명과 동일하게 명명하는 경우가 있다. 이는 사용자를 속여 자신을 찾아내기 힘들게 하기 위한 것이다. 이러한 경우의 대부분은 레지스트리 값 또한 마치 정상인듯 속이기 위해 정상 레지스트리 값 등록부분을 자신이 존재하는 경로로 변조시도를 한다.


위 그림을 살펴보면 Userinit 부분이 변조되어 있는것을 확인 할 수 있다. 경로가 C:\Windows\userinit.exe 로 되어있다. 하지만 정상 userinit.exe 는 C:\Windows\System32\userinit.exe 의 경로값을 가진다. 해당 레지스트리 값 부분을 더블클릭하면 레지스트리 편집기 화면으로 바로 이동이 가능하니 본인의 편집기에 설정되어 있는 레지스트리 값을 참고해보면 도움이 될 것이다.

위 그림의 레지스트리 값 등록부분을 보면 바로 정상 대신 부팅 시 악성코드 자신이 실행되는 것이며, 해당파일은 userinit.exe파일이 부팅 시 실행되는 루틴을 포함하여 윈도우 구동에 영향을 끼지지 않는다.

다만, 주의할 점은 해당 파일이 악성코드인것을 인지한 후 파일을 삭제 하거나 레지스트리 값을 삭제하는 경우다. 이 경우 악성코드 파일과 그 등록값은 삭제 되겠지만 정상 Userinit.exe파일이 실행되도록 레지스트리 값이 설정되어 있지 않기 때문에 해당파일은 구동되지 않을것이며, 윈도우 또한 로그인 상태만을 반복적으로 보여줄 것이다.

Explorer, Internet Explorer, Services, Drivers등도 위에서 설명한 것과 유사한 형태로 악성코드의 특정 파일에 대한 레지스트리 값 등록 경로로 사용된다. 

악성코드가 주요하게 사용하는 레지스트리 경로값은 많다. 위에서 나열한 경로와 레지스트리 값 등록 패턴말고도 일정 스케쥴에 따라 특정파일을 실행시켜 줄 수 있도록 값을 등록하는 Scheduled Tasks 와 사용자가 정상 파일명을 실행하여도 악성코드가 실행될 수 있도록 파일명 매칭을 바꿔주는 Image Hijacks등 다양한 레지스트리 등록 방법을 악성코드는 사용하므로 자신의 PC가 악성코드가 아닌 사용자 본인이 정상 시스템을 망치지 않도록 주의하여 사용해야 할 것이다.

Autoruns 툴은 새로운 프레임을 작성하여 레지스트리 값들을 보여주는 것이 아닌 존재하는 값들을 단지 보기편한 UI를 활용하여 제공하여 주는 만큼 위에서 설명한 주의사항등을 상기하며 사용하면 정말 유용한 툴이 될것이다.

3. IceSword 활용편

 - 안티 루트킷 프로그램이다. 접근이 어려운 파일에 대한 제어등이 가능하게 해주는 기능 또한 제공한다.
 - 다운로드 URL :
http://pjf.blogcn.com/index.shtml



- 각 색션별 주요기능
 
  1) Process : 현재 실행 중인 프로세스 목록을 보여준다.(Hidden 포함)
  2) Port : 네트워크의 접근 현황을 보여준다.
  3) Kernel Module : 실행파일에 의해 로드된 sys파일이나 dll파일의 목록을 보여준다.
                     루트킷의 경우 자신을 은폐하기 위한 파일들이 이곳에 등록될 수 있다.
                     다만, 이곳에 존재하는 정상파일들을 강제로 종료하는 경우 BSOD가
                     발생할 수 있다.
  4) Startup : 윈도우 시작 시 함께 실행되는 목록들을 보여준다.
  5) Win32 Services : 서비스로 실행되는 프로세스 목록을 보여준다.
  6) SPI(Service Provider Interface) : 네트워크 드라이버에 로딩되는 부분을 보여준다.
  7) BHO(Browser Helper Object) : 브라우저나 시스템의 쉘 실행 시 로딩되는 DLL의
                                  목록을 보여준다.
  8) SSDT(System Service Descriptor Table) : 시스템에 로드되어 있는 메모리를 참고 할
                                             수 있다.(Hidden 포함)
  9) Message Hooks : 프로그램 동작시 입출력 장치의 반응을 보여준다.
  10) Log Process/Thread Creation : 프로세스가 실행한 목록을 보여준다.
  11) Log Process Termination : 프로세스/쓰레드의 종료 시점을 보여준다.
  12) Scan Module Hooks : 모듈을 검사하며, 특정 프로세스나 파일의 모니터링에 사용된다.
                          사용시 PC에 많은 부하가 발생.
  13) Registry : 레지스트리 편집기를 실행하며, regedit.exe 로 접근이 불가능한 정보까지
                 접근이 가능하다.
  14) File : 숨김 폴더/파일을 모두 볼 수 있는 파일 탐색기를 실행하며, 접근불가 경로도
             접근 가능.
  15) Reboot and Monitor : 실행하면 재부팅이 이루어지며 부팅시 실행에 관한 모든 로그를
                           남긴다.
  16) RegFile : IceSword 의 일부 기능을 명령줄로 바꿔 실행이 가능하다. cmd창이 열리며
                이때는 사용중인 파일도 삭제가 가능하다.


위에서 설명한 Process Explorer, Autoruns의 파일 및 레지스트리값 제어를 한번에 진행할 수 있는 툴이 IceSwored이다. 또한 상기 두가지 툴에서 제공되지 않는 루트킷 스캔등 고급의 제어기능을 추가적으로 제공하여 준다.


위 그림과 같이 고급 제어 기능중 유용하게 사용될 수 있는 BHO(Browser Helper Object) 스캔 기능이 있으며, 사용자가 사용하지 않는 BHO값등의 제어를 원하는 경우 해당 레지스트리값에 마우스 우클릭으로 삭제 및 새로고침 기능을 수행 할 수 있다.

※ BHO란 근본적으로는 브라우저에서 지원하지 못하는 기능등을 지원하기 위해 플러그인 형태로 Internet Explorer(이하 IE)에 추가되는 DLL모듈등을 말하며, 이러한 BHO로 인해 IE에서는 다른 브라우저에서 접근하지 못하는 영역에 대한 접근 및 추가적인 기능수행등이 가능하다.


또한, IceSword는 안티 루트킷 프로그램으로 위 그림과 같이 SSDT(System Servoce Descriptor Table)후킹에 대한 스캔 및 제어 기능을 제공한다.

만일 특정 파일이나 Process에 대한 제어가 불가능 하거나 지속적으로 원하지 않는 불필요한 기능들의 Refresh등이 유지된다면 SSDT 메뉴로 이동하여 위 그림과 같이 정보를 확인 후 빨간색으로 표시되는 값을 찾아 마우스 우클릭 후 모두 Restore메뉴를 통해 복구해주면 된다.

※ SSDT 후킹이란 윈도우에서 제공하는 API가 커널모드에서 서비스를 받기 위해 필요한 내용(삭제, 생성, 복사등의 기능)을 조작하는 커널모드 후킹 방법을 말한다. 즉, 특정파일이나 Process에 대해 삭제, 생성, 복사등의 제어기능이 정상동작하지 못하도록 막는것을 SSDT 후킹이라 한다.

또한, IceSwored는 윈도우상에서 접근이나 제어가 불가능한 폴더나 파일에 대한 제어가 가능하다. 즉, 악성코드에 의해 레지스트리값이 변경되어 사용자에게 보이지 않거나 폴더에 대한 이동이 불가능한 경우 IceSword에서 제공하는 윈도우 탐색기를 통해 파일, 폴더에 상관없이 모두 마우스 우클릭을 통해 삭제 및 복사가 가능하다. (단, 복사의 경우는 파일에만 해당된다.)

만일 백신에 의해 진단되지 않으면서 위와 같이 IceSword를 통해 숨김속성이나 윈도우상에서 정상접근이 불가능한 파일에 대해 확인이 된다면 IceSword에서 제공하는 파일에 대한 복사기능을 이용하여 파일을 채취한 후 백신 업체등에 신고하는 편이 보다 안전할 수 있다. 그렇게된다면 추후에는 이러한 유사한 악성기능을 갖는 루트킷 악성코드에 대해 안전한 치료기능을 백신으로 부터 제공받을 수 있을것이다.

4. TCPView 활용편
 - TCP와 UDP등 사용자 PC의 일련의 네트워크 상태를 간단한 UI를 통해 제공.
 - 다운로드 URL :
http://technet.microsoft.com/ko-kr/sysinternals/bb897437(en-us).aspx


- 간단한 UI 설명.(적색박스의 왼쪽 아이콘부터)
 
 1) 저장.
 2) Local Adress, Remote Address를 IP 또는 호스트 이름으로 설정.
 3) 루프백(Loopback)을 제외한 연결된 정보만 출력.
 4) 새로고침.



- 간단한 UI 설명.(적색박스의 왼쪽 메뉴부터)
  
  1) Process : 실행중인 프로세스
  2) Protocol : 프로토콜(TCP 또는 UDP) 이름
  3) Local Address : 사용중인 로컬 PC의 IP 주소 또는 호스트 이름과 포트번호
  4) Remote Address : 원격 PC의 IP 주소 또는 호스트 이름과 포트번호
  5) State : 연결상태 표시
   - CLOSE_WAIT : 연결이 종료되기를 기다리는 상태
   - CLOSED : Server가 완전히 연결이 종료된 상태
   - ESTABLISHED : 연결이 되어 있는 상태
   - FIN_WAIT_1 : 소켓이 닫히고 연결이 종료되고 있는 상태
   - FIN_WAIT_2 : 로컬이 원격으로부터 연결 종료 요구를 기다리는 상태
   - LAST_ACK : 연결은 종료되었으며, 승인을 기다리는 상태
   - LISTEN : 연결 요구를 기다리는 상태.(포트가 열려있음을 의미)
   - SYN_RECEIVED : 원격으로부터 연결 요청을 받은 상태
   - SYN_SEND : 로컬에서 원격으로 연결 요청을 시도한 상태
   - TIMED_WAIT : 연결은 종료되었고, 원격의 수신 보장을 위해 대기하고 있는 상태
   - 연결 목록 색
     1. 초록색 : 정상연결
     2. 빨강색 : 연결이 끊기거나 종료
     3. 노란색 : 연결이 바뀌었을 때



위 그림 처럼 악성코드에 감염되면 추가적인 악성코드의 다운로드등을 위해 지속적인 패킷을 발생시키는 경우가 많다. TCPView는 PC의 네트워크 현황을 UI을 통해 실시간으로 정보제공을 해주기때문에 악성코드 감염 의심상황에서 쉽게 네트워크 트래픽체크가 가능하다.

위와 같이 Internet Explorer를 통한 지속적인 트래픽이 발생한다면 특정 파일로 인하여 악의적인 BHO동작을 의심해볼 수 있으므로 백신 및 상기에서 설명한 툴등으로 PC에대한 확인작업이 필요하다.

5. Gmer 활용편

 - IceSword와 같은 안티 루트킷 프로그램.
 - IceSword보다 더 높은 제어기능을 제공한다.
 - 다운로드 URL :
http://www.gmer.net/


- Gmer는 다음과 같은 루트킷에 대한 스캔이 가능하다.

  1) 숨겨진 프로세스
  2) 숨겨진 서비스
  3) 숨겨진 파일들
  4) 숨겨진 레지스트리 키
  5) 숨겨진 드라이버
  6) 숨겨진 쓰레드
  7) 숨겨진 모듈
  8) SSDT를 Hooking하는 드라이버
  9) IDT를 Hooking하는 드라이버
  10) IRP Calls를 Hooking하는 드라이버

- Gmer는 다음과 같은 시스템 기능들에 대한 모니터링이 가능하다.
 
  1) 프로세스 생성
  2) 드라이버 로딩
  3) 라이브러리 로딩
  4) 파일기능
  5) 레지스트리 엔트리
  6) TCP/IP


Gmer는 IceSword와 같은 기능을 제공하여주며, IceSword와는 다르게 지속적인 패치버전이 제공되어 범용적으로 사용하기에 IceSword보다 편리하다. 또한 IceSword보다 더 높은 파일제어기능을 제공한다.


IceSword와 마찬가지로 Process Explorer와 Autoruns등으로 악성코드 감염 의심파일에 대한 확인 및 제어가 어려운 경우 사용되는 툴이며, SSDT 후킹을 비롯한 다양한 루트킷 악성코드에 대하여 위의 그림과 같이 확인하기 간편한 UI로 정보가 제공된다.

Gmer는 최초 구동시 단독모듈로 드라이버를 등록 후 동작이 이루어지며, 설정된 루트 드라이버에 대한 스캔작업을 시작한다. 위의 화면과 같이 루트킷 서비스 및 드라이버가 발견되면 빨간색으로 인덱스 처리가 이루어져 표시되며 마우스 우클릭으로 Disable service등의 기능을 수행할 수 있다. 


Disable service 기능을 수행하며 확인한 서비스명으로 Services 레지스트리에 키값이 등록되어 있는것을 확인할 수 있으며, 레지스트리 등록값에 대한 확인 및 수정은 가능하나 키값 및 등록값들에 대한 삭제는 불가능하다. 또한, Services탭에서는 루트킷으로 등록된 서비스이외에도 PC에 적용되어 있는 모든 Service들에 대한 확인이 가능하다.

추가적인 정보들을 모두 얻었다면 재부팅을 진행하고 재부팅후에는 서비스로 등록되었던 키값의 실제 파일에 대한 확인 및 제어가 가능하다. 해당 루트킷에 대한 백신의 진단이 불가능 하다면 마찬가지로 파일을 윈도우상에서 채취가 불가능할 시 Gmer에서 제공하는 복사기능을 이용하여 채취 후 백신 업체등에 신고하여 추후에는 백신상에서 안전하고 편리하게 치료기능을 제공 받을 수 있도록 한다.

물론 IceSword에서도 Gmer와 마찬가지로 실제 루트킷 파일에 대한 제어가 가능하지만 IceSword자체가 추가적인 패치버전 제공이 이루어지지 않고 있어 범용적용이 어려우며, 루트킷 파일에 대한 제어가 가능하더라도 IceSword에서 제공하는 복사기능이 간혹 파일내부 구조를 깨뜨려 샘플로서 가치를 잃어버리기 쉽기때문에 실제 루트킷 파일에 대한 제어는 Gmer를 통하여 진행하는것이 안전하다.

다만, 강력한 안티 루트킷 서비스를 제공하는대신 제어에 많은 주위를 요구한다. 접근이 어려운 파일등에 대한 제어가 가능하기 때문에 정상파일에 대한 삭제가 진행되기 쉽기 때문이다. 위에서 설명한 Disable service가 아닌 상단의 Delete service기능을 수행 할 경우 서비스값에 대한 삭제와 동시에 파일에 대한 삭제 또한 이루어진다. 위 그림에서 보여지는것과 같이 악성코드 자체의 서비스가 발견될 경우에는 상관없지만 루트킷중에는 네트워크 패킷발생등의 목적으로 svchost.exe를 이용하여 루트킷 서비스로 등록(svchost명으로 서비스 등록)되는 경우가 많기 때문이다.

이상으로 위와같이 악성코드 대처에 필요한 5가지 툴에 대해 간단하게 활용법을 알아보았다. 악성코드는 사용자 자신이 아무리 주의를 기울여도 완전무결하게 사전방역을 하기에는 한계점이 있다. 요즘과 같은 최첨단의 정보통신 환경시대에서 자신의 개인정보와 같은 중요한 자산을 지키기 위해서는 항시 최신엔진 및 패턴버전의 백신을 유지하는것은 기본수칙으로 여기고 스스로 대처방안에 대한 관심을 가지고 준비하는것이 안전을 유지하기 위한 최소한의 필요충분조건이 될 수 있을것이다.

저작자 표시
신고
Posted by nProtect