악성코드들이 내 시스템에 무슨 파일을 write하고 레지스트리를 등록했는지...
어떻게하면 쉽게 알 수 있을까요?
사전에 자신의 시스템 정보를 기록해 두고 있다면 후에 악성코드에 감염되었을 때의 시스템 정보와 비교하면 무엇이 바뀌었는지 쉽게 알 수 있겠죠?
시스템 정보를 기록하기 위해서 sysinternals에서 제공하는 Autoruns 툴을 사용하도록 하겠습니다. 다운로드할 수 있는 사이트는 아래 링크되어 있습니다.
http://download.sysinternals.com/Files/Autoruns.zip
Autoruns 파일을 실행시킨 후 [Everything]탭을 클릭하시고 저장을 하면 자신의 시스템 정보가 저장이 됩니다. 후에 악성코드에 감염되었을 때 똑같은 방법으로 Autoruns를 이용하여 시스템 정보를 저장합니다.
시스템이 정상일 때 저장한 파일과 감염되었을 때 파일을 Winmerge 툴을 이용하면 수정된 부분을 쉽게 확인할 수 있습니다.
Winmerge 툴은 아래 링크에서 다운로드할 수 있습니다.
http://winmerge.org/downloads/
위 그림을 보시면 오른쪽이 시스템이 정상이였을 때의 정보입니다. 왼쪽이 감염되었을 때의 정보입니다. 빨간색박스 안의 정보를 보시면 시스템이 정상이였을 때 없었던 파일이 (회색으로 칠해진 부분) 감염이 되었을 때 생긴 것을 확인할 수 있습니다. 파일을 확인했다면 삭제를 해주시면 되지만 은폐된 파일일 경우 전에 소개해드렸던 IceSword 나 Gmer 같은 툴을 이용하여 수집 및 삭제를 해 주시면 되겠습니다.
글을 마치며...
- 사전에 자신의 시스템이 정상일 때의 정보를 저장해 두면 이번 글에서처럼 간편하게 악성코드에 감염되어 어떤 파일이 write되고 레지스트리가 등록이 되었는지 쉽게 알 수 있으니깐 미리미리 저장해 두세요 ^^
시스템이 정상일 때 저장한 파일과 감염되었을 때 파일을 Winmerge 툴을 이용하면 수정된 부분을 쉽게 확인할 수 있습니다.
Winmerge 툴은 아래 링크에서 다운로드할 수 있습니다.
http://winmerge.org/downloads/
위 그림을 보시면 오른쪽이 시스템이 정상이였을 때의 정보입니다. 왼쪽이 감염되었을 때의 정보입니다. 빨간색박스 안의 정보를 보시면 시스템이 정상이였을 때 없었던 파일이 (회색으로 칠해진 부분) 감염이 되었을 때 생긴 것을 확인할 수 있습니다. 파일을 확인했다면 삭제를 해주시면 되지만 은폐된 파일일 경우 전에 소개해드렸던 IceSword 나 Gmer 같은 툴을 이용하여 수집 및 삭제를 해 주시면 되겠습니다.
글을 마치며...
- 사전에 자신의 시스템이 정상일 때의 정보를 저장해 두면 이번 글에서처럼 간편하게 악성코드에 감염되어 어떤 파일이 write되고 레지스트리가 등록이 되었는지 쉽게 알 수 있으니깐 미리미리 저장해 두세요 ^^
'악성코드 정보' 카테고리의 다른 글
| 리포트 수동 수집 안내 (0) | 2009.09.09 |
|---|---|
| 바이러스(Win32/Induc) 수동 제거 방법 (184) | 2009.09.03 |
| 내 데이터를 안전하게 지키는 방법! (2) | 2009.09.02 |
| UAC 기능으로 인해 치료 실패가 되는 경우 (0) | 2009.09.01 |
| 빠르게 정상파일인지 확인하는 노하우 (1) | 2009.09.01 |
댓글