·¹Áö½ºÆ®¸®¸¦ Á¶»çÇÏ´Ù º¸¸é Á¶±Ý ÀÌ»óÇÑ Å°°¡ ³ª¿Â´Ù. ¹Ù·Î
HKLM\SECURITY Å°ÀÌ´Ù. ºÐ¸íÈ÷ ºó Å°ÀÌÁö¸¸ XP³ª ºñ½ºÅ¸¸¦ ¼³Ä¡Çϸé Ç×»ó »ý¼ºµÈ´Ù. ³»º¸³»±â¸¦ Çϸé
³»º¸³¾ °ÍÀÌ ¾ø´Ù´Â ¸Þ½ÃÁö¸¦ ¶ç¿ì°í »èÁ¦¸¦ ÇÏ·Á°í ÇÏ¸é ±×¸²Ã³·³ Àý´ë »èÁ¦ÇÒ ¼ö ¾ø´Ù°í ¾àÀ» ¿Ã¸°´Ù.
ÀÌ Å°´Â ¾î¶² ¿ëµµ·Î ¾²ÀÌ´Â Å°Àϱî?
¾ó¸¶Àü ½Å¹®¿¡±îÁö ³ª°í À̽´ÈµÆ´ø ¹®Á¦°¡
·çƮŶÀ̾ú´Ù.
·çƮŶÀº »ç¿ëÀÚ ¸ðµå°¡ ¾Æ´Ï¶ó Ä¿³Î ¸ðµå¿¡¼ µ¿ÀÛ, ½ÇÇàÁßÀÎ ÇÁ·Î¼¼½º³ª ÆÄÀÏÀ» ã´Â ¼ÒÇÁÆ®¿þ¾î¸¦ ¸»ÇÑ´Ù. ±×·¯³ª ÃÖ±Ù ÀÌ·¯ÇÑ
·çƮŶÀÌ ¾Ç¼º ÇÁ·Î±×·¥ÀÌ ÀÚ½ÅÀ» ¼û±â±âÀ§ÇØ »ç¿ëµÊÀ¸·Î¼ ·çƮŶ ¹®Á¦°¡ ºÒ°ÅÁ³´Ù.
ÇÊÀÚ°¡ ¿¹Àü¿¡ ¾´ ÆÁ, »ç·ÊºÐ¼®À» ÅëÇØ ¹è¿ì´Â ½ºÆÄ¿þ¾î ÆÇÁ¤(
I,
II,
III,
IV)À» º¸¸é ¾Ë ¼ö ÀÖÁö¸¸ ÀÌ·±
¾Ç¼º ÇÁ·Î±×·¥Àº ¹Ýµå½Ã ½ÇÇà Äڵ带 °¡Áö°í ÀÖ¾î¾ß ÇÑ´Ù. ±×·¡¼ ´ëºÎºÐÀÇ ¾Ç¼º ¼ÒÇÁÆ®¿þ¾î Á¦°Å µµ±¸´Â ½ÇÇà Äڵ带 ã±âÀ§ÇØ ·¹Áö½ºÆ®¸®¸¦ °Ë»öÇÑ´Ù. ¹®Á¦´Â ·¹Áö½ºÆ®¸®¿¡µµ
»ç¿ëÀÚ ¸ðµå¿¡¼´Â Á¢±ÙÇÒ ¼ö ¾ø´Â ¼ûÀº Å°°¡ ÀÖ´Ù´Â Á¡ÀÌ´Ù. µû¶ó¼
RootkitRevealer ³ª ó·³ ·¹Áö½ºÆ®¸®¸¦ °Ë»ö, ·çƮŶÀ» ã¾ÆÁÖ´Â ÇÁ·Î±×·¥µµ ÀÖ°í ·çƮŶÀ» ½É´Â °ÍÀ» ¸·±âÀ§ÇØ ½ÇÇàµÇ´Â ¸ðµç ÇÁ·Î¼¼½ºÀÇ ÆÄÀÏÀ» °¨½ÃÇÏ´Â
AntiHook °ú °°Àº ÇÁ·Î±×·¥µµ ÀÖ´Ù.
¿À´Ã ÇÊÀÚ°¡ ¼Ò°³ÇÏ´Â
Registrar Registry Manager´Â ÀÏÁ¾ÀÇ ·¹Áö½ºÆ®¸® °ü¸® Á¾ÇÕ ÇÁ·Î±×·¥ÀÌ´Ù. ´Ù¸¸ ÀÌ ÇÁ·Î±×·¥À» ·çƮŶ°ú ÇÔ²² ¼Ò°³ÇÏ´Â ÀÌÀ¯´Â ¹Ù·Î
¾Ç¼º ¼ÒÇÁÆ®¿þ¾î°¡ ·çƮŶÀ» ½ÇÇàÇÒ ¶§ ¸¹ÀÌ »ç¿ëÇÏ´Â ¼ûÀº ·¹Áö½ºÆ®¸®±îÁö ãÀ» ¼ö Àֱ⠶§¹®ÀÌ´Ù.
ÀÌ ÇÁ·Î±×·¥Àº ±âº»ÀûÀ¸·Î
·¹Áö½ºÆ®¸® ÆíÁý±â,
·¹Áö½ºÆ®¸® ºñ±³ µµ±¸,
CLSID ÂüÁ¶ µµ±¸,
ÆÄÀÏ ÂüÁ¶ µµ±¸,
·¹Áö½ºÆ®¸® Á¶°¢ ¸ðÀ½,
·¹Áö½ºÆ®¸® °¨½Ã±â¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù. ¶ÇÇÑ ºÎ°¡ÀûÀÎ ±â´ÉÀ¸·Î ¼ûÀº Å°¸¦ ãÀ» ¼ö ÀÖÀ¸¸ç, ¿ø°Ý ·¹Áö½ºÆ®¸®µµ ÆíÁýÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ ·¹Áö½ºÆ®¸® ÆíÁý±â¿¡ Æ÷ÇÔµÈ ¹é¾÷ ±â´ÉÀº
½Ã½ºÅÛ º¹±¸ ±â¹ý I - ·¹Áö½ºÆ®¸® ÇÏÀ̺êÀÇ ¹é¾÷°ú º¹±¸¿¡¼ ¼³¸íÇÑ
ERUNTÀÇ ±â´ÉÀ» ´ëüÇÒ ¸¸ ÇÏ´Ù.
Registrar Registry Manager¿¡¼ Áö¿øÇÏ´Â ±âº»ÀûÀÎ ±â´ÉÀº ´ÙÀ½°ú °°´Ù. °¢°¢¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ »ç¿ë¹ýÀº º°µµÀÇ ÆÁÀ¸·Î ¿Ã¸®µµ·Ï ÇÏ°Ú´Ù.
- ·¹Áö½ºÆ®¸® ÆíÁý±â
- ¸» ±×´ë·Î ·¹Áö½ºÆ®¸® ÆíÁý±âÀÌ´Ù. XPÀÇ ³»ÀåµÈ ·¹Áö½ºÆ®¸® ÆíÁý±â°¡ Áö¿øÇÏ´Â ±â´ÉÀ» ¸ðµÎ Áö¿øÇϸç, Ãß°¡ÀûÀ¸·Î ·¹Áö½ºÆ®¸® ÇÏÀ̺êÀÇ ¹é¾÷°ú º¹±¸¸¦ Áö¿øÇÑ´Ù. µ¡ ºÙ¿© ¼³¸íÇϸé ÀÌ ±â´É¿Ü¿¡ REG ÆÄÀÏÀ» ÆíÁýÇÒ ¼ö ÀÖ´Â ±â´É(damibasia´ÔÀÌ ¿äûÇÑ ±â´É), ¹Ù²Ù±â¸¦ Áö¿øÇÏ´Â °Ë»ö ±â´É, ·¹Áö½ºÆ®¸® Å°¸¦ ÀÔ·ÂÇϸé ÇØ´ç ·¹Áö½ºÆ®¸®·Î À̵¿ÇÏ´Â ÁÖ¼Ò Ç¥½ÃÁÙ ±â´É, ÀÚÁÖ »ç¿ëÇÏ´Â ·¹Áö½ºÆ®¸®¸¦ µî·ÏÇØ µÎ´Â ·¹Áö½ºÆ®¸® Ã¥°¥ÇÇ ±â´Éµµ Áö¿øÇÑ´Ù.
±×¸²Àº HKLM\SECURITY¸¦ Registrar Registry Manager·Î ¿¬ ȸéÀÌ´Ù. ±×¸²¿¡¼ ¾Ë ¼ö ÀÖÁö¸¸ ³»ÀåµÈ ·¹Áö½ºÆ®¸®·Î´Â º¼ ¼ö ¾ø´Â »ó´çÈ÷ ¸¹Àº Å°°¡ µî·ÏµÇ¾î ÀÖ´Ù. ¾Æ¿ï·¯ ·¹Áö½ºÆ®¸®¸¦ Á¶»çÇغ¸¸é ¾Ë ¼ö ÀÖÁö¸¸ OS¿¡¼ »ç¿ëµÇ´Â º¸¾È °ü·Ã Á¤Ã¥ÀÌ ÀÌ Å°¿¡ µî·ÏµÇ¾î ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
- ·¹Áö½ºÆ®¸® ºñ±³
- µÎ°³ÀÇ ·¹Áö½ºÆ®¸®ÀÇ º¯°æÁ¡À» ºñ±³ÇÒ ¼ö ÀÖ´Â ·¹Áö½ºÆ®¸® ºñ±³ ±â´ÉÀ» Á¦°øÇÑ´Ù. Active Registry Monitor À̳ª Regshot°ú ºñ½ÁÇÒ °Í °°Áö¸¸ Á¶±Ý ´Ù¸£´Ù. ´õ ÀÚ¼¼ÇÑ ³»¿ëÀº ´ÙÀ½ ÆÁ¿¡¼ ¼³¸íÇϵµ·Ï ÇÏ°Ú´Ù.
- CLSID ÂüÁ¶ µµ±¸
- ·¹Áö½ºÆ®¸®¿¡ µî·ÏµÈ ¸ðµç CLSIDµé ã¾Æ °¢°¢ÀÇ CLISD¿Í ÆÄÀÏ, µî·ÏÇÑ È¸»çÀÇ Á¤º¸¸¦ Ç¥½ÃÇÑ´Ù. º° ¾µ¸ð¾ø´Â ±â´É°°Áö¸¸ ÇϳªÀÇ È¸é¿¡ °¢ CLSIDÀÇ À̸§, »ç¿ëÇÏ´Â DLL, ÆÄÀÏ ¼³¸íÀ» º¼ ¼ö Àֱ⠶§¹®¿¡ ·¹Áö½ºÆ®¸®¸¦ Á¤¸®ÇÒ ¶§¿¡³ª CLSIDÀÇ ¹®Á¦¸¦ ÇØ°áÇÒ ¶§¿¡´Â »ó´çÈ÷ À¯¿ëÇÏ´Ù.
- ÆÄÀÏ ÂüÁ¶ ÆíÁý±â
- CLSID ÂüÁ¶ µµ±¸¿Í ºñ½ÁÇÏ´Ù. °Ë»ö Á¶°Ç¿¡ µû¶ó ·¹Áö½ºÆ®¸®¿¡ µî·ÏµÈ ÆÄÀÏ/Æú´õ°¡ ½ÇÁ¦ Á¸ÀçÇÏ´ÂÁö¸¦ °Ë»çÇÑ´Ù. ÆÄÀÏÀÇ À̸§ ¹× °æ·Î, Á¦Á¶»ç, ¼³¸í, ·¹Áö½ºÆ®¸®ÀÇ À§Ä¡¸¦ È®ÀÎÇÒ ¼ö Àֱ⠶§¹®¿¡ ·¹Áö½ºÆ®¸®¸¦ Á¤¸®ÇÒ ¶§ »ó´çÈ÷ À¯¿ëÇÑ µµ±¸ÀÌ´Ù.
- ·¹Áö½ºÆ®¸® Á¶°¢ ¸ðÀ½
- NTREGOPT ó·³ ·¹Áö½ºÆ®¸®¸¦ Á¶°¢ ¸ðÀ½ÇÏ´Â ±â´Éµµ Áö¿øÇÑ´Ù. ·¹Áö½ºÆ®¸® Á¶°¢ ¸ðÀ½ÀÌ ¿Ö ÇÊ¿äÇÑ Áö´Â °ø°³ ·¹Áö½ºÆ®¸® ÃÖÀûÈ À¯Æ¿¸®Æ¼, NTREGOPTÀ» º¸±â ¹Ù¶õ´Ù.
- ·¹Áö½ºÆ®¸® °¨½Ã±â
- °ÅÀÇ ¸ðµç ÇÁ·Î±×·¥Àº ½ÇÇØÇϱâÀ§ÇØ ·¹Áö½ºÆ®¸®¸¦ ÂüÁ¶Çϸç, ÇÊ¿äÇÑ °æ¿ì ·¹Áö½ºÆ®¸®¿¡ Á¤º¸¸¦ ±â·ÏÇÑ´Ù. ÀÌ·¯ÇÑ ·¹Áö½ºÆ®¸®ÀÇ È°µ¿ »çÇ×À» °¨½ÃÇÑ´Ù. Sysinternals.com ÀÇ Regmon °ú ºñ½ÁÇϸç, ÇÊÀÚ°¡ ¿¹Àü¿¡ ¼Ò°³ÇÑ MultimonÀÇ ·¹Áö½ºÆ®¸® °¨½Ã ±â´É°úµµ ºñ½ÁÇÑ ±â´ÉÀÌ´Ù.
- ¼ûÀº ·¹Áö½ºÆ®¸® ã±â
- ÇÊÀÚ°¡ °¡Àå ¸Å·ÂÀÖ°Ô º» ±â´ÉÀÌ´Ù. ´Ù¸¥ µµ±¸·Î Áö¿øÇÏÁö´Â ¾ÊÁö¸¸ °Ë»ö ±â´É¿¡¼ »ç¿ëÇÒ ¼ö ÀÖ´Ù. ´Ù¸¸ ¸ðµç ¼ûÀº ·¹Áö½ºÆ®¸®°¡ ·çƮŶÀ» ½ÇÇàÇϴµ¥¿¡ »ç¿ëµÇ´Â °ÍÀº ¾Æ´Ï±â ¶§¹®¿¡ ¼ûÀº ·¹Áö½ºÆ®¸®¸¦ ¹«Åδë°í Áö¿ö¼´Â ¾ÈµÈ´Ù.
- ·¹Áö½ºÆ®¸® ÇÏÀ̺êÀÇ ¹é¾÷ ¹× º¹±¸
- ·¹Áö½ºÆ®¸® ÇÏÀ̺긦 ¼öµ¿À¸·Î ƯÁ¤ Æú´õ¿¡ ¹é¾÷ÇÒ ¼ö ÀÖ´Ù. ¸¶Ä¡ ½Ã½ºÅÛ º¹±¸ ±â¹ý I - ·¹Áö½ºÆ®¸® ÇÏÀ̺êÀÇ ¹é¾÷°ú º¹±¸¿¡¼ ¼³¸íÇÑ ERUNT¸¦ »ç¿ëÇÏ´Â °Í°ú ºñ½ÁÇÏ´Ù. ÀÌ·¸°Ô ¹é¾÷µÈ ·¹Áö½ºÆ®¸®´Â Registrar Registry Manager¸¦ ÀÌ¿ëÇؼ º¹±¸ÇÒ ¼ö ÀÖÀ¸¸ç, ½Ã½ºÅÛ º¹±¸ ±â¹ý IÀ» ÀÌ¿ëÇؼµµ º¹±¸ÇÒ ¼ö ÀÖ´Ù.
·¹Áö½ºÆ®¸® °ü·Ã ÇÁ·Î±×·¥À» ¿©·¯ °¡Áö »ç¿ëÇØ ºÃÁö¸¸ »ç½Ç
Registrar Registry Manageró·³ ¸¸Á·°¨À» ÁØ ÇÁ·Î±×·¥Àº ¸¹Áö ¾Ê´Ù. µðÀÚÀεµ ºñ±³Àû ±ò²ûÇÏ°í ±â´ÉÀº ÈìÀâÀ» ¶§°¡ ¾ø¾ú´Ù. ºñ±³ ±â´ÉÀº Á¶±Ý ´õ È®ÀÎÇغÁ¾ß °ÚÁö¸¸ Á¶±Ý ¾Æ½¬¿î °¨ÀÌ ÀÖ¾ú´Ù.