안녕하세요!
오늘도 여러분들의 궁금증 해결에 조금이나마 도움을 드리고자 게시물을 올립니다.^^
자, 준비되셨나요~? 이번에 알아볼 tool은 Autoruns 입니다!
악성코드 분석 시 시스템 구성 유틸리티에서 시작 프로그램 부분을 확인 하는데요, 윈도우에서 제공하는 기본적인 기능만으로 시작 프로그램에 대한 자세한 정보를 알아보는 데는 한계가 있습니다. 그래서 이용하는 tool이 바로 Autoruns 입니다!
Autoruns는 Microsoft 사에서 무료로 배포하고 있으며 아래 링크에서 다운 받을 수 있습니다.
▶ 다운로드
프로그램을 다운로드 받으신 후 압축 해제 하시면 아래와 같이 3개의 파일이 보이실 겁니다.
Autorunsc.exe 는 명령 프롬프트용이며 이 글에서는 Autoruns.exe를 이용하여 설명 드리겠습니다.
▶ 실행
최초 프로그램을 실행하면 조금 복잡해 보일 수도 있는 화려한(?) 창이 보입니다. 편의를 위해 만들어진 tool이니 두려워하실 필요는 없습니다!
Autoruns는 다양한 엔트리(entry)로 구성되어 있는데요. 각 엔트리가 보여주는 정보에는 어떤 것인지 알아보도록 하겠습니다~
ü Everything : 각기 다른 엔트리에서 확인할 수 있는 모든 자동 실행 코드가 나타납니다.
ü Logon : 시작 프로그램 폴더(현재 사용자, 모든 사용자)와 Run 레지스트리(HKML,HKCU)에 등록
되어 있는 항목이 표시됩니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Explorer : 쉘(shell) 확장, BHO(browser helper objects), 익스플로러 툴바(Explorer toolbar) 등
이 표시됩니다. 운영체제(XP) 최초 설치시에 HyperTerminal Icon Ext와 디스플레이
패닝 CPL 확장이 등록되어 있습니다.
ü Internet Explorer : 인터넷 탐색기의 BHO와 인터넷 익스플로러(Internet Explorer) 툴바가 표시
됩니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Scheduled tasks : 부팅 또는 로그온 시 작업 스케줄에 구성된 정보를 보여줍니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Services : 시스템 부팅 시 자동적으로 실행되는 윈도우의 모든 서비스 구성 정보를 보여줍니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Drivers : 사용안함(disabled)으로 시스템에서 제외된 모든 커널 모듈 드라이버를 보여줍니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보로는 오디오, 그래픽, 네트워크 등
시스템 구성 시 필수적인 카드 드라이버가 있습니다.
ü Boot Excute : 부트 프로세스(boot process) 초기 동작에 실행되는 프로그램을 보여줍니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Image Hijacks : 이미지 파일 실행 옵션과 명령 프롬프트 자동 실행 프로그램을 보여줍니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü AppInit : NT\CurrentVersion\Windows\AppInit_DLLs에 등록되어 있는 DLL을 표시하며 App
Init_DLLs에 등록되어 있는 DLL은 현재 로그온 세션에서 실행중인 모든 Windows 기반
응용 프로그램에 의해 읽혀집니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Known DLLs : HKLM\SYSTEM\CurrentControlSet\Control\Session\Manager \KnownDLLs
에 등록되어 있는 DLLs에 등록되어 있는 DLL을 출력하며 KnownDLLs 레지스트
리 키의 DLL들은 시스템이 시작될 때 메모리로 읽혀집니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü Winlogon : HKML\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Winlogon\Notify
에 등록되어 있는 DLL을 표시하며 Notify에 등록된 DLL은 Winlogon이 시작될 때
Winlogon이 레지스트리를 검사해서 메모리로 읽혀지게 됩니다.
운영체제(XP) 최초 설치시 이 엔트리에 등록된 정보는 없습니다.
ü Winsock Providers : Winsock 서비스 제공자를 포함하여 등록된 Winsock 프로토콜을 표시하며
악성 프로그램은 종종 자신을 Winsock 서비스 제공자로 등록하는 경우가
많습니다. 그 이유는 Winsock 서비스 제공자로 등록하는 경우 제거 할 수
있는 방법이 많지 않기 때문입니다. Autoruns는 이들을 제거할 수 있지만
사용 안 함으로 설정할 수는 없습니다.
ü Print Monitors : 프린트 스풀링 서비스에 로드되는 DLLs를 보여주며 악성코드는 자신을 자동실
행하기 위해 이용하기도 합니다.
운영체제(XP) 최초 설치 시 이 엔트리에 등록된 정보는 없습니다.
ü LSA Providers : LSA(local security authority), 알림 및 보안 패키지에 등록된 레지스터를 보여
줍니다.
▶ 마치며...
Autoruns는 다양한 기능을 제공하는 만큼 악성코드 분석에 있어서도 정말 유용한 tool입니다. 예를 들어 위의 각 엔트리에서 직접 설치한 프로그램이 아니거나 모르는 프로그램이 있다면 악성코드를 의심해 볼 수 있는데요. Autoruns를 통해 이 의심되는 파일의 정보를 다각도로 확인 할 수 있으며 직접 삭제도 가능합니다.
악성코드에 대응하는 부분에 대해서는 Autoruns - Series (2)에서 다시 한번 설명 드리도록 하겠습니다.
오늘도 행복한 하루 되세요~!
감사합니다. ^_^
'악성코드 정보' 카테고리의 다른 글
| Autoruns 사용법! - Series (2) (8) | 2010.04.28 |
|---|---|
| Facebook Password Reset Confirmation! Support Message. (0) | 2010.04.27 |
| You have received an eCard 악성코드 스팸메일 주의! (0) | 2010.04.24 |
| Please attention! - DHL 메일로 위장한 스팸메일 주의! (0) | 2010.04.23 |
| 쉿! 묻지마 Active X 설치는 금물... (1) | 2010.04.22 |
댓글