본문 바로가기

윈도우445

IceSword을 이용한 루트킷 탐지 및 삭제 IceSword (루트킷 탐지∙삭제 프로그램) 숨겨진 프로세스나 서비스, 포트 등을 붉은색으로 표시해 루트킷의 존재를 알려주는 윈도우용 보안 툴 입니다. 일반 툴로는 볼 수 없는 루트킷 기법을 사용하는 파일이나 그 레지스트리를 볼 수 있게 해 사용자가 직접 이를 삭제할 수 있습니다. 루트킷 기법은 계속 발전하고 있기에 IceSword로는 모두 탐지할 수는 없으며 백신등과 다른 루트킷 탐지도구의 검사내용, Google검색 등을 통해 삭제내용을 신중히 결정하시기 바랍니다. 파일이나 레지스트리를 삭제할 때는 상당한 주의를 요합니다. 특히 SSDT(System Service Descriptor Table)항목의 경우에는 특히 주의를 해야 합니다. 보안프로그램도 kernel hook기법을 이용하기에 붉게 표시되었.. 2010. 1. 6.
[윈도우] 숨겨진 프로세스를 찾는 방법들 1. EPROCESS의 ActiveProcessLinks Linked List를 이용해서 Traverse. ( 왠만한 루트킷들은 이 값을 조작하므로 별로 소용없을지도 모르지만, ZwQuerySystemInformation()을 후킹하여 결과값을 조작하는 식으로 숨기는 경우는 이 방법으로 손쉽게 찾아낼 수 있습니다. ) 2. ZwOpenProcess() Brute-Force Detection 유효 PID인 0L부터 0xFFFFL까지 4의 배수들을 모두 Open해서 성공적으로 열어지는 프로세스를 감지합니다. 단, 프로세스가 종료되었으나 핸들이 닫히지 않은 경우에도 Open되므로 추가적인 확인이 필요합니다. 3. PspCidTable Traverse Windows NT에는 PspCidTable이라는 Unexp.. 2010. 1. 6.
Windows 프로세스 모니터링 및 관리 시스템에서 프로세스를 사용 중인 경우 가끔 주어진 시간에 실행되고 있는 모든 프로세스를 볼 필요가 있습니다. 예를 들어, 프로세스 중지 기능을 제공하는 응용 프로그램을 만들려면 먼저 어느 프로세스가 실행되고 있는지 알아야 합니다. 목록 상자를 프로세스 이름으로 채우고 각각 다른 작업을 수행하는 프로세스를 선택할 수 있습니다. 실행 중인 프로세스를 보려면 Process 형식의 빈 배열을 선언합니다. 빈 배열을 GetProcesses 메서드의 반환 값으로 채웁니다. 배열에서 각 프로세스의 이름을 얻으려면 인덱싱된 값을 사용하여 프로세스 배열을 검색하고 콘솔에 씁니다. 다음 예제에서는 Process 구성 요소의 GetProcesses 메서드를 호출하여 프로세스 배열을 반환하고 콘솔에 ProcessName 값을.. 2010. 1. 6.
PowerShell로 원격 컴퓨터 정보를 엑셀에 삽입하기 스크립트를 작성할 때는 각자 익숙한 방법에 안주하기 쉽습니다. 매번 같은 방법으로 똑같은 결과를 얻으려 합니다. 예를 들어 모니터링과 관련해서, Windows PowerShell을 사용하면 로컬 컴퓨터의 프로세스 사용률에 대한 유용한 스냅숏을 쉽게 얻을 수 있습니다. Get-Process cmdlet을 사용하면 그림 1과 같은 깔끔한 출력을 얻게 됩니다. 그림 1 Get-Process를 사용하여 로컬 프로세스 살펴보기 Get-Process cmdlet의 결과는 다양한 상황에서 유용하게 사용할 수 있습니다. 대표적인 예로 열린 핸들의 수, 메모리 소모량에 대한 몇 가지 보기, CPU 사용률의 스냅숏 등을 표시합니다. 또한 Windows PowerShell 2.0에서는 Get-Process를 –compute.. 2010. 1. 5.
Conficker 웜과 MSRT 마이크로소프트에서 매월 MSRT (악성 소프트웨어 제거 도구, Malicious Software Removal Tool)라는 간단한 안티바이러스 툴을 자동 업데이트와 윈도우 업데이트로 배포하고 있습니다. 패치와 함께 다운로드되고 실행돼 시스템을 스캔해 악성 코드가 있으면 제거합니다. 그런데 일반적인 상용 안티바이러스 제품처럼 실시간 모니터하는 기능은 없으며, 악성 코드로 진단하는 대상도 아주 작습니다. 그 때 그 때 유행하고 있으며 위험도가 큰 100여개의 악성 코드와 그 변종만을 검색합니다. 아주 가볍게 만든 툴이지요. 아래 그림에서 보시는 것처럼 Conficker는 다양한 감염 경로를 가집니다. 클릭하면 저희 악성 코드 대응팀(MMPC) 블로그로 갑니다. 윈도우의 서버 서비스 취약점을 공격하기 때문에.. 2010. 1. 4.
728x90