Autoruns 사용법! - Series (2)

안녕하세요!

 

오늘은 Autoruns tool 소개 두번째 시간입니다.

이전 글에서 언급했던 데로 본 글에서는 Autoruns 이용 방법에 대해 알아보는 시간을 갖도록 하겠습니다.

 

자, 그럼 시작합니다~!

 

Autoruns를 실행한 후 아래 화면을 보면 매우 많은 정보들이 확인 됩니다. 이들 정보들 중에는 윈도우와 관련된 정상적인 부분도 다수 포함되어있습니다. 정상적인 정보를 포함하여 확인해야 하는 상황이 아니라면 이들 정상 정보들을 제외한 나머지 부분만 볼 수 있도록 설정합니다. 그 설정 방법은 아래와 같습니다.

[ Options -> Hide Microsoft and Windows Entries 또는 Hide Windows Entries ] 항목 선택

  

 

 

선택하면 바로 적용되는 것이 아니기 때문에 새로 고침(F5)을 한번 꾹! 눌러주도록 합니다.

 

Everything에서도 각 항목에 대한 정보를 확인 할 수 있으나 되도록이면 각 세부 엔트리를 통해 각각의 정보를 확인 하는 것을 적극 권장합니다.

 

각 엔트리중 하나를 선택한 후, 눈여겨봐야 할 부분은 파일에 대한 Description을 포함한 세부 정보입니다.

 

ü  Description : 파일에 대한 설명.

ü  Publisher : 파일의 공급 사.

ü  Image Path : 파일의 저장되어있는 경로.

 

여기서 악의적인 파일일 경우 앞의 정보가 누락되어있을 수 있으며, 정상적이지 않은 경로에 파일이 생성되어 있을 수 도 있습니다. 하지만 정상적인 경우도 설명이나, 공급 사가 누락되어 있을 수 있으며 비 정상적인 파일도 앞의 정보가 있을 수 있습니다. 다시말해 섣부른 판단은 금물이라는 말씀이죠! ^^
 

엔트리에서 관련 개체를 선택한 후 오른쪽 마우스를 클릭하면 가장 먼저 Delete(객체 삭제)와 Copy(객체 복사), Verify(디지털 서명 확인), Jump to(레지스트리로 이동), Search Online(온라인 검색), Process Explorer(프로세스 익스플로러와 연동), Properties(등록정보) 메뉴가 있습니다.

 

ü  Delete : 객체를 삭제하는 항목.

ü  Copy : 객체를 복사.
(단, 삭제 전 반드시 관련 파일에 대한 정확한 정보를 확인 한 후 진행하도록 합니다!)

ü  Verify : 디지털 서명 항목으로 선택한 후 디지털 서명이 유효 할 경우 Verified, 유효하지 않을
       경우, Not Verified로 표시.
(이 항목은 [Options -> Verify Code Signatures] 를 선택하여 전체적으로 적용 시킬 수 있습니다. 단, 선택 후 새로 고침을 해주어야 합니다. ^^)

 

ü  Jump to : 레지스트리 편집기의 해당 항목으로 이동.
(여기서 레지스트리를 수정하거나 삭제 할 수 있는데 작업 전 반드시 레지스트리에 대한 정확한 정보를 확인하고 해당 레지스트리를 백업해 두는 것을 권장합니다.)

 

ü  Search Online : 웹 브라우저의 검색 엔진에서 해당 키워드로 검색을 할 수 있습니다.

ü  Process Explorer : Autorun 실행 중 Process Explorer를 연동하게 해주는 항목.
(Process Explorer를 미리 실행시켜 놓거나 Autoruns 실행 파일과 같은 경로에 Process Explorer 실행 파일을 두면 자동으로 연동 됩니다.)

 

ü  Properties : 해당 개체에 대한 등록정보 확인.

 

마치며…

 

이번 글 까지는 Autoruns의 각 기능에 대해 알아보았습니다. 하나의 글에서 모든 부분을 다룰수도 있지만 여러분들의 손가락 보호 차원에서 부득이하게 시리즈로 작성하고 있음을 알려드리며 이상의 글을 마치겠습니다.^^;

참고로, 다음 글에서는 지금까지 알아본 기능을 이용하여 악성코드에 대응 하는 법을 알아보도록 하겠습니다.

감사합니다. ^_^