QAOS.com | RootkitRevealer 사용기

게시판홈 / 낙서장 / RootkitRevealer 사용기

새글쓰기 답글쓰기

저자

RootkitRevealer 사용기

Anonymous (0)
비회원

게시일: 2007-01-16 23:51|

RootkitRevealer를 바로 받아서 사용해봤습니다.
호기심이 생기면 할 일도 미루고 해보고 마는 습성때문에...^^

두 가지를 스캔하는 거 같습니다.

우선 레지스트리 하이브(raw hive data)를 통해,
1. Key name에 비정상적인 문자(null 등)가 포함되어있는지 검사
2. Windows API에 있는 내용과 비교
3. 접근이 금지된 레지스트리 검색
하고,

file을 대상으로,
1. Windows API를 통해 접근이 불가능한 file 검색
2. API를 통해서는 접근 가능하지만 MFT나 directory index에서는 접근이 불가능한 file 검색
한다는 것 정도...

프로그램의 소개에도 나와있지만, 검색결과는 제공하지만 판단은 "사용자가 알아서..."라는 결론이군요.
이 프로그램의 희안한 특징 한 가지...
스캔 결과를 "내 문서"에 저장하면 "c:\Documents and Settings\LocalService\My Documents"에 저장합니다.

어쨋든, 첫 스캔을 실행한 결과입니다.

----
Path Timestamp Size Description
----
HKLM\SECURITY\Policy\Secrets\SAC* 2005-12-14 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 2005-12-14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName
2006-11-02 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 2006-11-02 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 2006-11-02 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\vax347s\Config\jdgg40 2006-11-07 0 bytes Hidden from Windows API.
...이하생략...
----------
*생략된 부분은 cookie 및 internet 임시 folder에 생기는 file들입니다.

나름대로 분석을 해봤는데,
세번째와 네번째의 key는 정체를 밝혀냈습니다.

32418F9EE1126B64A90E8365B85CFCF6 Alcohol 120% (Trial Version)의 Product 이름
E9F81423-211E-46B6-9AE0-38568BC5CF6F Alcohol 120% (Trial Version)의 Path 이름

그런데 나머지는 정상적인 상태에서도 보이는 key인지 확신을 못하겠더군요.
1. "HKLM\SECURITY"는 regedit로는 볼 수 없는 내용이고,
2. sptd는 sptd.sys를 의미하고 vax347s는 vax347s.sys를 의미합니다.
file을 찾아서 분석한 결과,
sptd.sts -> Verisign Time Stamping Service driver
vax347s.sys -> SCSI miniport driver
라는 결론!!!
따라서, 제 컴은 별 이상이 없고, 첫 두 개의 key(SAC* and SAI*)만 문제된다는건데,
이 두 key도 정상적인 key로 추청하고 그냥 사용함으로 결정! ㅋㅋㅋ

[ 메시지수정: ymister 일시: 2007-01-16 23:53 ]

Anonymous (0)
비회원

게시일: 2007-01-17 00:20|

인용

따라서, 제 컴은 별 이상이 없고, 첫 두 개의 key(SAC* and SAI*)만 문제된다는건데,
이 두 key도 정상적인 key로 추청하고 그냥 사용함으로 결정! ㅋㅋㅋ

제 컴에서도 발견했습니다.

서핑하다보니 관련 내용들이 많이 있더군요..
그러나 별 문제는 없을 것 같기도 합니다. ㅎ

http://forum.sysinternals.com/forum_posts.asp?TID=8881&PN=1

[ 메시지수정: axine 일시: 2007-01-17 00:21 ]

Anonymous (0)
비회원

게시일: 2007-01-17 01:31|

이렇게 나오는데 무슨 의미인지 알 수는 없다는...

검색을 해보니 다른 이들도 저와 동일하게 나오는 것으로 봐서 신경 안 써도 될 것 같네요.

Anonymous (0)
비회원

게시일: 2007-01-17 16:41|

sysinternal 에서 다운받아 전부터 사용해 봤습니다
실행시키면 카스퍼스키 백신이 꽥꽥거립니다
자식~별것도 아닌거 가지고 놀라기는...action-deny시키고
실행하는데 전 꼭 3개만 검출이 되던데요?

HKLM\SECURITY\Policy\Secrets\SAC*
HKLM\SECURITY\Policy\Secrets\SAI*
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\PdmHist\xxxxxxx.

근데 regedit로 들어가보면 그런 registry가 없더라구요?
전에는 무지 많이 검출 되엇습니다
찿은 건 다 삭제 해버리구요.

sysinternal에서 또 dllarchive라고 사용해 봤는데
뭐 사용않는 dll파일 정리해 준다고 해서 사용해 봤습니다
직장 컴터는 이상 없는데 집 컴터는 시작과 종료화면이 이상하게 바뀌어 버려서
포맷했던 기억이 있습니다,
이건 조심해서 사용하세요.컴터마다 조금씩 틀린거 같아요
(물론 백업해놓은걸로 다시 dll재자리에 돌려 놓으면 되지만
깔끔한걸 좋아해서 백업한걸 다 삭제해 버려서,,,,ㅜㅜ)

다음글: 결혼 합니다. (4)	9529	moonloveyou	2019-11-06

이전글: adlogger가 안되요~ (0)	3697	hacom1424	2006-10-24

새글쓰기 답글쓰기

세상사는 이야기