최근 어베스트!의 버전업에 눈길을 끌고 있는 회사가 있습니다. 바로 GMER로 어베스트! 안티 바이러스 제품의 안티 루트킷 모듈의 기술을 제공하는 회사입니다. 이 회사에서는 당연히 루트킷을 진단하고 치료할 수 있는 프로그램을 제공합니다. 일명 GMER!

GMER에서 검사할 수 있는 항목은 다음과 같습니다.
  • 숨겨진 프로세스
  • 숨겨진 쓰레드
  • 숨겨진 모듈
  • 숨겨진 서비스
  • 숨겨진 파일
  • 숨겨진 ADS(alternative Data Streams)
  • 숨겨진 레지스트리
  • SSDT 후킹 드라이버
  • IDT 후킹 드라이버
  • IRP 호출 후킹 드라이버
  • 기타 후킹
또한, 다음과 같은 시스템 함수를 모니터링할 수 있습니다.
  • 프로세스 생성
  • 드라이버 로딩
  • 라이브러리 로딩
  • 파일 함수
  • 레지스트리 항목
  • TCP/IP 연결

GMER는 윈도우 NT, 2000, XP, 비스타에서 사용할 수 있습니다.
사용자 삽입 이미지

프로그램 다운로드: http://www.gmer.net/files.php

제작사 홈페이지:   http://www.gmer.net

국내 소개 자료: NTFAQ http://ntfaq.co.kr/4035

특히 GMER의 기술력 중의 하나는 바로 빠른 속도로 루트킷을 찾아 낸다는 점에 있습니다. 국내외 보안 회사에서는 보통 하나 이상의 안티루트킷 제품을 유/무료로 제공하는데 실제 비교해 보면 속도면에서 강점을 가집니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    1. Favicon of http://blog.sessak.com BlogIcon Sessak 2008.03.18 21:51  댓글주소  수정/삭제  댓글쓰기

      바이러스 제로2에서 문스랩님 이야기도 듣고, 많이 온라인상에서 뵌듯싶습니다. 블로그에 첨와보내요..

    2008년도 보안 업계의 한 획을 장식할만한 새로운 악성 프로그램이 출현한 것으로 알려지고 있습니다. 아직 널리 알려져 있지 않기에 일부 자료에 대해 번역하여 정리해 봤습니다.

    MBR(Master Boot Record)는 하드 디스크의 첫번째 섹터 영역으로 운영체제가 부팅하기 위해 필요한 가장 핵심적인 코드인 부트 코드가 저장됩니다.

    즉, MBR보다 먼저 실행할 수 있는 코드는 없습니다. 물론 ROM-BIOS는 제외. MBR 바이러스는 약 15년 이상 전인 DOS 시절에 아주 재미를 봤던 일반적인 바이러스 형태입니다.

    이제 새로운 윈도우 형태의 MBR 루트킷이 출현하면서 기존 악성 프로그램이 레지스트리나 파일을 변조, 생성, 삽입하는 방법을 사용하지 않고서도 충분히 공격할 수 있게 되었습니다.

    보안 전문가에 따르면 'Mebroot'이라고 알려진 MBR 루트킷은 꽤 고급 기술로 제작되었다고 합니다. 이 루트킷은 시스템의 변조를 최소화하여 그만큼 탐지가 어려우며 감염된 시스템에서는 보다 탐지가 힘들다고 합ㄴ다.

    MBR 루트킷의 스텔스 특징에 대해 잠시 언급해 보면,

    • 'ntoskrnl.exe' 모듈은 커널모드 다운로드 페에로드를 INIT 섹션에 있는 nt!Phase1Initialization 함수로 설정하도록 실행하여 후킹합니다. 즉, INIT 섹션에서 시스템이 초기화된 이후에는 메모리를 삭제하고 더 이상 후킹의 흔적을 찾지 못하게 합니다.
    • 루트킷은 파일 대신에 물리적 섹터로 리부팅하는데 필요한 데이터를 저장합니다. 즉, 실제 페이로드를 포함하는 데이터 영역은 보이지는 않지만 일반 프로그램에서 액세스할 수 있는 수단을 제공합니다. 따라서, 루트킷은 필요한 데이터를 숨기는 인터페이스를 후킹할 필요가 없습니다.
    • MBR은 루트킷 프로그램의 시작점입니다. 따라서 루트킷을 실행하기 위해 기존의 실행 파일이나 레지스트리를 수정하거나 변조할 필요가 없습니다. 즉, 오직 필요한 것은 변조한 MBR을 숨기고 보호하는데 사용할 후킹입니다. 정확히 말하면 루트킷은 disk.sys 드라이버 객체의 4바이트(2 DWORD) 문자만을 후킹합니다.
    • MBR 루트킷의 또다른 흥미로운 점은 아직 널리 알려져 있지 않고 있다는 점입니다. 그 이유중의 하나는 Mebroot의 코드가 난해하고 어려워서 코드를 분석하는데 시간이 많이 소요된다는 점입니다.

    루트킷의 주요 목적은 다수의 다운로드를 다운로드받도록 동작하는 것입니다. 루트킷은 들키지 않고 효과적으로 동작하기 위해 개인용 방화벽이 차단하거나 알아채지 못하게 하는 것이 필수적입니다. 이는 물리적 하드웨어 바로 위에 있는 NDIS 계층의 하단부에서 동작함으로 인해 가능합니다.

    루트킷은 동작을 위해 수정되지 않은 자체의 NDIS API 함수를 이용합니다. 이는 Rustock과 Srizbi와 같은 일부 악성 프로그램에서도 이미 사용된 바 있습니다. 하지만, MBR 루트킷은 이른바 'code pullout'이라는 기술을 사용하여 ndis.sys 드라이버 전체를 로드하지 않고 ndis.sys 드라이버에서 필요한 부분만을 로드하여 이용합니다.

    즉, 루트킷이 실행되는 동안 메모리에 일정한 패턴이 나타나는데 그 크기가 매우 작아지고 모듈 또한 시스템 주소 영역에 추가로 로드될 필요가 없어 감식이 어렵습니다

    이 루트킷은 전문적인 지식을 가지고 제작되어 배포되었습니다. 2007년 12월에 초기 샘플이 출현하였으며 2008년 1월에 베타 코드가 나왔습니다. 이제 이 루트킷은 다양한 경로 사용자들에게 침투할 것으로 예상됩니다.

    익스플로잇 코드를 운용하는 사이트에서는 보통 다음의 익스플로잇을 이용합니다.

    • Microsoft Data Access Components(DAC) Function vulnerability(MS06-014)
    • AOL SupperBuddy ActiveX control Code Execution vulnerability(CVE-2006-5820)
    • Online Media Technologies NCTsoft NCTAudioFile2 ActiveX Buffer Overflow(CVE-2007-0018)
    • GOM Player "GomWeb3" ActiveX Control Buffer Overflow(CVE-2007-5779)
    • Microsoft Internet Explorer WebViewFolderIcon setSlice(CVE-2006-3730)
    • Yahoo! JukeBox datagrid.dll AddButton() Buffer Overflow
    • DirectAnimation PathControl KeyFrame vulnerablility(CVE-2006-4777)
    • Microsoft DirectSpeechSynthesis Modeul Remote Buffer Overflow

    익스플로잇의 실제적인 작동 코드 2개는 지난 달에 이미 널리 공개된 상태입니다. 다운로드된 페이로드드은 온라인 뱅킹이나 인터넷 쇼핑몰을 겨냥하고 있는 것이 명백합니다.

    출처: http://www.cxotoday.com/India/News/MBR_Rootkit_A_New_Breed_of_Malware/551-87316-909.html

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      1. .... 2009.12.29 07:38  댓글주소  수정/삭제  댓글쓰기

        아이고 엄청 무섭네요 ㄷㄷ
        MBR에 들어갈 생각을 하다니

      소니(Sony)는 지문으로 인증하는 USB 드라이브를 처리하는데 새로운 악성 프로그램을 사용한다는 소식이다.

      보안 벤더인 F-Secure에 따르면, 소니의 MicroVault USM-F 지문 감식 소프트웨어가 들어 있는 USB 스틱에 악성 프로그램이 감염되어 있다고 한다. 이 프로그램은 사용자의 PC에 숨겨진 파일로 설치되며 일부 바이러스 백신에서는 감지하지 못한다고 한다.

      예전에 소니는 BMG 음악 CD에서도 CD를 컴퓨터에서 재생하기 위해서는 악성소프트웨어를 설치하도록 하여 네티즌과 언론에 강한 어필을 받은 적이 있다.

      다만, 이 번 경우에는 BMG CD와는 달리 소니가 MicroVault 소프트웨어를 관리하고 있지는 않고 있다. F-Secure는 이 루트킷은 소프트웨어를 좀더 보안하기 이해 설치하느 것이라고 설명했다.

      출처: http://www.tgdaily.com/content/view/33559/108/


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        요즘 루트킷이 점차 세력을 뻗치고 있습니다. 안티 바이러스 백신은 한 두개만 있어도 충분히 커버가 되지만, 루트킷의 경우 적어도 3-4가지 이상은 사용해야만 안전을 보장 받을수 있습니다.

        아래 표는 제가 사용하는 루트킷을 총정리해 둔 것입니다. 물론, 이 이외에도 안티루트킷이 있기는 하지만 회사의 지명도나 기술력을 감안하여 정리해 놓은 것입니다.

        날짜와 버전은 틀릴 수 있으며 링크는 제품 링크와 다운로드 링크를 구분했습니다.

        유용하게 사용하시기 바랍니다.


        Anti-RootKit 프로그램 정리

        프 로 그 램

           

        버전

        링크

        AVG

        Anti-Rootkit

        2007-04-13

        V1.1.0.42

        http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-rootkit-free

        http://free.grisoft.com/softw/70free/setup/avgarkt-setup-1.1.0.42.exe

        BitDefender

        RootkitUncover

        2007-04-13

        V1.0 Beta 2

        http://beta.bitdefender.com/showmain.php

        http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_isecurity_v10-RC1.exe

        http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe

        F-Secure

        BlackLight

        2007-04-13

        V2.2.1061

        http://www.f-secure.com/blacklight

        https://europe.f-secure.com/exclude/blacklight/fsbl.exe

        HiJack This

        2007-04-13

        V1.99.1

        http://www.tomcoyote.org/hijackthis/

        http://tomcoyote.org/hjt/hjt199//hijackthis.zip?

        Lavasoft

        ARIES Rootkit Remover

         

         

         

        http://www.majorgeeks.com/Lavasoft_ARIES_Rootkit_Remover_d4912.html

        Rootkit Hook Analyzer

         

        V2

        http://www.resplendence.com/hookanalyzer

        http://www.softpedia.com/get/Security/Security-Related/RootKit-Hook-Analyzer.shtml

        Rootkit Revealer

         

        V1.71

        http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

        http://download.sysinternals.com/Files/RootkitRevealer.zip

        Sophos

        Anti-Rootkit

         

        V1.2

        http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

        http://www.sophos.com/products/free-tools/sophos-anti-rootkit/eula

        http://www.sophos.com/support/cleaners/sarsfx.exe

        Panda Anti-Rootit

         

         

        http://www.pandasoftware.com/products/antirootkit/

        http://acs.pandasoftware.com/marketing/promo/en/antirootkit.exe

        McAfee

        Rootkit Detective

         

        V1.0

        http://vil.nai.com/vil/stinger/rkstinger.aspx

        http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          1. Favicon of http://ryzik.tistory.com/ BlogIcon 라이직 2009.07.11 11:39  댓글주소  수정/삭제  댓글쓰기

            좋은 글 감사합니다~ 퍼가도 되죠??

          보안 벤더로 유명한 맥아피(www.McAfee.com)에서 루트킷을 진단 치료할 수 있는 루트킷 디텍티브 1.0(Rootkit Detective 1.0)을 무료로 공개합니다.

          다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

          주요 특징은 다음과 같습니다.
          • 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
          • 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
          • SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
          • 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
          • 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
          • 사용자는 샘플을 관련 사이트에 접수할 수 있다.

          사용할 수 있는 운영체제는 다음과 같습니다.

          • WIndows XP 홈 SP2
          • Windows XP 프로 SP2
          • Windows 2000 SP4
          • Windows 2000 서버
          • Windows 2003 서버 SP1

          다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.

          아래 화면은 루트킷 디텍티브를 실행한 것입니다.

          사용자 삽입 이미지

          아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.
          사용자 삽입 이미지


          그리고, 다음 사항을 주의해야 합니다.

          • McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
          • McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
          • Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
          • Zone Alarm의 vsdatant.sys를 진단합니다.
          • Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
          • F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
          • Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
          • McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
          • McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
          • VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
          • 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
          • IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.

          감사합니다.

          PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.


           


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            며칠 전에 방화벽 및 침입 탐지 시스템을 우회하여 침투가 가능한 새로운 루트킷이 출현했다. 이 루트킷은 다음의 레지스트리 키를 숨기기 위해 커널 함수를 후킹한다.
            • ZwOpenKey
            • ZwEnumerateKey

            또한 다음의 파일들을 숨기기 위해 NTFS 파일 시스템 드라이버의 커널 루틴을 후킹한다.
            • \FileSystem\Ntfs\IRP_MJ_CREATE
            • \FileSystem\Ntfs\IRP_MJ_DIRECTORY_CONTROL

            방화벽, IDS 시스템, 네트워크 스니퍼링 툴 등을 완벽하게 바이패스하기 위해 TCP/IP 네트워크 체인을 변경한다. 또한 윈도우 안전 모드에서도 동작하기 때문에 기존의 안전 모드에서 검사하여 찾아내는 방법은 무용지물이 된다.

            이 루트킷은 최근의 경향대로 스팸을 발송하기 위해 주로 사용되며, 대략 10,000개 웹 사이트가 이미 해킹되어 설치된 것으로 알려져 있다. 

            Srizbi 트로이 목마는 Trojan.Srizbi 드라이버(windbg48.sys)를 통해 루트킷으로 자신을 숨기고 스팸을 발송한다. 또한, 감염하려는 PC에 경쟁 루트킷이 설치되어 있는 경우 삭제를 시도하며 대표적인 목표는 nto256.syswincom32.sys이다.

            아래는 IframesMPack을 사용하여 PC를 공격하는 유투브 동영상으로 시만텍이 제작한 것이다.

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              약 1년 전에, Joanna Rutkowska는 싱가포르에 위치한 IT 보안 기업의 은폐 기능이 들어 있는 악성 프로그램에 대한 보안 연구가로 '100% 진단이 불가능한' 악성코드를 생성할 수 있는 새로운 기술을 구축하였다고 밝혔다. 이 프로토타입은 윈도우 비스타 x64 시스템에서도 동작한다고 한다.

              그는 운영 체제의 핵심 부분에서 완벽한 제어를 얻기 위해 AMD의 SVM/Pacifica virtualization 기술을 사용하였다고 하였으며 이를 블루필이라고 밝혔다.

              블루필은 x64 기반의 시스템에서 윈도우 비스타에 있는 anti-rootkit policy change라는 핵심적인 기능을 효과적으로 우회한다. virtual machine rookit 아이디어는 새롭게 제시된 것은 아니었다. 마이크로소프트와 미시건 대학교 연구가들은 SubVirt라는 VM 기반의 루트킷을 만들어 냈는데, 이 루트킷은 대상 시스템에 보안 소프트웨어가 설치되어 있어도 진단이 불가능할 정도였다고 합니다.

              Rutkowska는 "블루필의 강력함은 SVM 기술에 바탕"하고 있다고 개인 블로그인 Invisible Things에서 밝혔다. 그리고 가상 머신을 대상으로 작성된 진단 기술이 있다면 블루필을 진단할 수 있을 것이라고 합니다.

              Rutkowska는 블루필 기술이 운영 체제의 버그를 바탕으로 작성된 것이 아니라고 강조했다고 합니다. "윈도우 비스타 x64에서 동작하는 프로토타입을 만들었는데 그 외 다른 운영체제에서 작동하는 프로그램을 만드는 것이 불가능하지는 않다"고 밝혔으며 심지어 x64 플랫폼에서 동작하는 Linux, BSD 에서도 가능할 것이라고 합니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요


                PC도사 2007로 새롭게 재기한 악성코드 제거 프로그램 제작사인 PC도사랩에서 안티루트킷을 탐지하는 프로그램 베타 버전을 출시하였습니다.

                아직 어떤 루트킷을 탐지하는 지에 대한 자세한 정보는 없지만, 루트킷 발견시 동일한 테스트를 하면 그 결과가 바로 나타나겠지요

                Rootkits은 악의적인 프로그램을 사용자로부터 은폐,은닉을 하기위한 프로그램을 말합니다. 최근 스파이웨어,애드웨어 제작자들은 자신의 프로그램이 쉽게 제거되는것을 막기위해 Rootkit 기술을 사용하고 있습니다.
                Rootkit 기술을 사용한 스파이웨어,애드웨는 자체보호기능(프로세스,파일 및 폴더 은폐)이 프로그래밍되어 있어 백신프로그램으로도 탐지 및 치료가 어렵습니다.
                안티루트킷도사(BETA)는 Rootkit 기술을 사용하여 숨어있는 프로세스와 파일 및 폴더를 탐지하여 제거해주는 프로그램입니다.

                 
                * 베타버전에는 삭제기능을 지원하지 않습니다.
                 
                지속적인 연구개발을 통해 좋은 프로그램을 만들수 있도록 노력하는 PC도사랩이 되도록 하겠습니다.


                홈페이지: http://pcdo4lab.com/productinfo_rkdo4.html

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  새로 추가된 Storm 웜 변형입니다.
                  http://www.asiatoday.co.kr/news/view.asp?seq=63746


                  아마 Storm 웜에 대해 들어본 적이 있습니까? 아마도 국어를 애용하는 사람이라면 잘 모르는 경우가 대부분입니다. 이 웜은 주로 제목에 중요한 사실/뉴스 등을 담은 스팸 메시지를 통해 전염되지만 영어인 관계로 한국 환경에서는 그리 크게 주목을 받지 못하였습니다.

                  잠시 이 웜에 대해서 소개해 드립니다. Storm 웜은 지난 1월 달에 최초 발견된 것으로 알려지고 있으며, 주로 영어권 국가인 유럽쪽에 많이 감염되었습니다. 특히, Storm 웜은 스팸 메시지의 제목에 "230 dead as storm batters europe"와 같이 중요한 뉴스거리 즉, 낚시질 제목으로 많은 사람들이 감염되었습니다. 2월 달에는 발렌타인 데이에 관해서, 최근 3월에는 제 3차 세계 대전에 대한 소식으로 한번 더 전세계적으로 전파가 되었습니다.

                  이 스팸 메시지의 형태는 다음과 같습니다.

                  제목
                  Worm Detected!
                  Virus Detected!ected!
                  Virus Activity Detected!
                  ATTN!
                  Spyware Alert!
                  Spyware Detected!
                  Warning!
                  Trojan Alert!
                  Trojan Detected!
                  Worm Activity Detected!
                  Virus Alert!


                  본문

                  From: Customer Support

                  Dear Customer,
                  Our robot has detected an abnormal activity from your IP address on sending e-mails.

                  Probably it is connected with the last epidemic of a worm which does not have official patches at the moment. We recommend you to install this patch to remove worm files and stop email sending, otherwise your account will be blocked. We had archived the patch because the worm can modify unpacked exe files. You should open the archive file, enter the password and run the patch immediately.

                  Password: {Random}

                  Customer Support Center Robot.

                  Attachment: Patch-{Random}.zip


                  첨부 파일
                   보통 2개의 첨부파일을 포함하고 있습니다. 하나는 일반 그림 파일(*.gif)이고 나머지 하나가 비밀번호로 압축된 zip 파일입니다. 보통 다음의 이름을 가집니다.
                  patch-[RANDOM 4 DIGITS].zip
                  removal-[5 RANDOM DIGITS].zip
                  hotfix-[5 RANDOM DIGITS].zip
                  bugfix-[5 RANDOM DIGITS].zip

                  Stom 웜이 새롭게 선보인 기술이 바로 이 비밀번호로 보호하는 zip 파일입니다. 첨부 파일의 비밀번호는 글자와 숫자로 섞여 랜덤하게 조합됩니다. 물론, 이메일에는 비밀번호가 포함되어 있어 쉽게 알 수는 있습니다.

                  만약 zip 파일에 비밀번호를 넣어서 열어서 실행을 하면, Storm 웜을 PC에 설치하고 바이러스 스캐너로부터 자신을 보호하기 위해 루트킷을 이용하여 숨깁니다. 루트킷에 사용되는 대표적인 파일은 wincom32.sys이고 다음과 같이 루트킷 탐지 프로그램을 찾아 낼 수 있습니다.


                  루트킷 구성요소

                  SSDT
                  ZwEnumerateKey
                  C:\WINDOWS\system32\wincom32.sys

                  SSDT
                  ZwEnumerateValueKey
                  C:\WINDOWS\system32\wincom32.sys

                  SSDT
                  ZwQueryDirectoryFile
                  C:\WINDOWS\system32\wincom32.sys

                  IRP
                  \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL
                  \\??\C:\WINDOWS\system32\wincom32.sys


                  대부분의 안티 바이러스 프로그램에서는 이러한 탐지 기술을 가지고 있지 않기 때문에 알아 내기가 그리 쉽지 않습니다. 하지만, 안티루트킷 프로그램을 이용하여 손쉽게 알아 낼 수 있습니다. 참고로, 첨부파일 중 하나를 분석해 놓은 자료를 참고하시기 바랍니다.


                  마무리
                  아직 국내에는  대부분 바이러스 백신, 악성코드 프로그램만 알고 있을 뿐, 루트킷에 대해 그리 많은 정보가 알려져 있지 않습니다.  이제부터는 안티 바이러스 제품과 함께 안티 루트킷 제품을 사용하여 정기적으로 감염 여부를 검사하길 추천합니다.

                  AVG Anti-Rootkit 프로그램 다운로드

                  자료: Antirootkit.com
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                    백신업체로 유명한 판다에서 루트킷 프로그램을 진단 치료할 수 있는 Panda Anti-Rootkit을 출시하였습니다. 특징은 다음과 같습니다.

                    • 숨겨진 드라이버
                    • 숨겨진 프로세스
                    • 숨겨진 모듈
                    • 숨겨진 파일
                    • 숨겨진 레지스트리 항목
                    • SDT 변경 사항
                    • EAT 후크
                    • IDT 변경 사항
                    • 비표준 INT2E
                    • 비표준 SYSENTER
                    • IRP 후크
                    • 기타 등등
                    사용방법은 아주 간단합니다. 아래의 링크에서 다운로드하여 실행하면 그래픽 인터페이스로 손쉽게 진행할 수 있습니다.

                    1. 프로그램을 다운로드하여 실행합니다.(프로그램을 실행하기 전에, 다른 프로그램은 모두 종료하는 것이 좋습니다)

                    2. 프로그램이 최신 버전인지 확인합니다.
                    사용자 삽입 이미지


                    3.  최신 버전이 있는 경우에는 다운로드를 받습니다.
                    사용자 삽입 이미지

                    4. 모두 다운로드 받고, 저장하여 정상적으로 실행되면, 다음 그림과 같이 Start Scan을 클릭하면 검사가 진행됩니다.
                    사용자 삽입 이미지

                    5.  검사가 진행되는 상황입니다.
                    사용자 삽입 이미지

                    6. 발견된 루트킷은 Remove Rootkits 버튼을 눌러 삭제합니다.
                    사용자 삽입 이미지

                    출처: http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory