악성코드들이 내 시스템에 무슨 파일을 write하고 레지스트리를 등록했는지...
어떻게하면 쉽게 알 수 있을까요?
사전에 자신의 시스템 정보를 기록해 두고 있다면 후에 악성코드에 감염되었을 때의 시스템 정보와 비교하면 무엇이 바뀌었는지 쉽게 알 수 있겠죠?

시스템 정보를 기록하기 위해서 sysinternals에서 제공하는 Autoruns 툴을 사용하도록 하겠습니다. 다운로드할 수 있는 사이트는 아래 링크되어 있습니다.

http://download.sysinternals.com/Files/Autoruns.zip



Autoruns 파일을 실행시킨 후 [Everything]탭을 클릭하시고 저장을 하면 자신의 시스템 정보가 저장이 됩니다. 후에 악성코드에 감염되었을 때 똑같은 방법으로 Autoruns를 이용하여 시스템 정보를 저장합니다.

시스템이 정상일 때 저장한 파일과 감염되었을 때 파일을 Winmerge 툴을 이용하면 수정된 부분을 쉽게 확인할 수 있습니다.
Winmerge 툴은 아래 링크에서 다운로드할 수 있습니다.

http://winmerge.org/downloads/



위 그림을 보시면 오른쪽이 시스템이 정상이였을 때의 정보입니다. 왼쪽이 감염되었을 때의 정보입니다. 빨간색박스 안의 정보를 보시면 시스템이 정상이였을 때 없었던 파일이 (회색으로 칠해진 부분) 감염이 되었을 때 생긴 것을 확인할 수 있습니다. 파일을 확인했다면 삭제를 해주시면 되지만 은폐된 파일일 경우 전에 소개해드렸던 IceSword 나 Gmer 같은 툴을 이용하여 수집 및 삭제를 해 주시면 되겠습니다.

글을 마치며...
- 사전에 자신의 시스템이 정상일 때의 정보를 저장해 두면 이번 글에서처럼 간편하게 악성코드에 감염되어 어떤 파일이 write되고 레지스트리가 등록이 되었는지 쉽게 알 수 있으니깐 미리미리 저장해 두세요 ^^



신고
Posted by 비회원