Autoruns 개요 (시스템 시작점 관찰하기) - 시스템 구성 유틸리티(Msconfig)는 버려라

이 글은 2022년 12월 26일 월요일에 최종 수정되었습니다. 글을 작성 후 10년이 넘는 시간이 흐르다 보니 Autoruns 사용자 인터페이스가 좀 변했지만  이 글에서 설명하는 내용은 여전히 유효합니다.

 

이 글은 아래와 같은 순서로 진행합니다.

1. 서론
2. Autoruns 개요

1. 서론

 

만약에 백신 없이 시스템의 상태를 파악해야 한다면
우리는 어떤 과정을 거쳐서 시스템의 상태를 파악해야 할까요?
보안 회사에서 근무하는 보안 전문가들은 어떤 과정을 거쳐서 시스템을 분석할까요?
보안 전문가(분석가)들이 일차적으로 사용하게 되는 도구들은

Autoruns
Process Explorer
TCPView

위와 같은 Sysinternals의 도구들과 그 외 몇몇 가지일 겁니다.
위에 언급한 세 개의 도구들 중에
Process Explorer와 TCPView에 대하여는 오래전에 제 블로그에서 논한 적이 있었습니다.
그런데 Autoruns의 경우에는 자세히 설명하려면 그걸 적을 엄두가 안 나서
(Autoruns를 활용한 Tip이라 할 만한 토막글들만 가끔 쓰고)

Autoruns에 대한 전반적인 리뷰는 하지 않고 그냥  내버려두었습니다.
그러면 이제 Autoruns란 무엇인가에 대한 개요를 간단하게 적어 봅니다. 

 

2. Autoruns 개요

 

우리가 사용하는 시스템은 엄청나게 많은 시작점들을 가집니다.
그런데 많은 사람들이 마치 시스템 구성 유틸리티(msconfig)가 
시스템의 모든 시작점들을 표시하는 거처럼 생각합니다.

 

 

 

그래서 시스템에 문제가 생길 경우 msconfig에서 모든 걸 체크 해지하고 보자고 생각을 하게 됩니다.
그런데 그렇게 생각할 경우 위에 제가 올린 그림에서 보면
avgtray란 게 보이는데, 이건 AVG 백신의 실시간 감시와 관련된 항목인데
그 앞에서 체크를 해지하게 되면 AVG 백신의 실시간 감시가 꺼집니다.
물론 AVG 환경 설정에서 Resident Shield를 다시 켜면 해결이 되는 문제이지만
모든 항목들 앞의 체크를 해지하는 사용자들은 사실상 컴맹에 가깝기 때문에
자신이 사용하는 백신의 실시간 감시가 꺼졌는지 켜졌는지도 모르고 사용을 할 수도 있고,
또는 실시간 감시가 꺼진 건 인지했지만 어떻게 다시 켜야 하는지 모를 수도 있습니다.

게다가요.
시스템 구성 유틸리티에서만 보아도 서비스 탭에 있는 것들도 시작 항목들입니다.
그럼  그것들도 다 체크를 해지해야 하는 걸까요?
한 번 체크 해지해 보세요.

그렇게 하는 걸 클린 부팅이라고 하는데
일반적인 사용자들은 일단 클린 부팅 한 번 하고 나면
시스템을 도로 정상화하기도 힘들 걸요??

그래서 이제 우리 그 모지람을 벗어던지고 보다 똘똘함으로 무장하고자 이제부터
시스템 시작점 하면 Autoruns!라고 외치는 세상으로 들어가 보기로 합니다.

Autoruns 홈페이지 링크 - https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

위 홈페이지에서

 

① 실행 파일만 다운로드해서 실행
또는
② 압축 파일을 다운로드해서 임의의 폴더에 압축을 풀고
    내 시스템이 64비트라면 Autoruns64.exe를
    내 시스템이 32비트라면 Autoruns.exe를

실행하세요.

 

Autoruns를 실행하면 위와 같은 메인 창이 뜨는데요.

우리가 시스템 구성 유틸리티의 시작 프로그램 탭을 통해 볼 수 있는 것들은
Autoruns의 Logon 탭에서 볼 수 있는 것들의 일부일 뿐입니다. 
시스템 구성 유틸리티의 서비스 탭을 통해 볼 수 있는 것들은
Autoruns의 Services 탭에서 볼 수 있고요.

자! 위 두 문장의 설명만 보셔도 시스템 구성 유틸리티가 보여 주는 시작점들이
얼마나 제한적인 것인지 알 수 있죠?

이제 Autoruns의 활용을 설명할 건데
Autoruns에 대하여 미주알고주알 다 설명할 수는 없기 때문에
특정한 시나리오들을 가정하고 그에 대한 설명을 하기로 합니다. 

V3 Zip을 설치하고 나면
왼쪽 그림에서 보이는 거처럼
탐색기에서 파일을 선택하고
마우스 오른쪽 버튼을 클릭 시
뜨는 context-menu(문맥 메뉴)를
보면 V3와 관련된 메뉴들이
뜨는 게 보입니다.

물론
이건 V3 Zip 환경 설정에서
조절이 가능한 사항이지만
이 문맥 메뉴들을
Autoruns를 통해서
없애 보기로 합니다.

 

 

 

V3 Zip과 관련된 문맥 메뉴를 제거하려면 위 그림에서

빨간 박스 친

① AhnLab.V3Zip V3 Zip 2.0 Shell Extension AhnLab, Inc. c:\program files\ahnlab\v3zip20\v3zipsh3.dll 2011-10-06 오후 5:56

항목 앞의 체크를 해지하면 되는데요.

체크를 해지한 김에

②AVG Shell Extension AVG Shell Extension AVG Technologies CZ, s.r.o. c:\program files\avg\avg2012\avgse.dll 2012-02-14 오후 12:51

③Open With Windows Shell Common Dll Microsoft Corporation c:\windows\system32\shell32.dll 2012-06-08 오후 11:25

항목들 앞의 체크도 해지를 해 보았습니다.

그러고 나서 탐색기에서 문맥 메뉴를 보니

 

 

V3 Zip과 관련된 문맥 메뉴들이 없어졌죠?
그리고
위에 올린 문맥 메뉴 스샷에서는 보이던 AVG(으)로 스캔이라는 항목도 없어진 걸 느끼실 겁니다(②).

 
그리고 또 뭐가 없어졌나요?
연결 프로그램이 없어진 거 느껴지시나요? ③은 연결 프로그램을 표시하는 시작점이니까요.

이건 시스템 구성 유틸리티를 통해서는 결코 구현될 수 없는 시작점 관리죠.

요래요래 설명하면 야! 너무 어렵잖아라고 할지도 모르지만
제가 Autoruns를 처음 안 게 2005 년이었던 걸로 기억을 하는데
그때부터 지금까지 누구 하나 Autoruns를 제게 가르쳐 준 적도 없었고
쓸 만한 자료도 읽어 볼 수도 없었습니다.

그냥 저 혼자서 Autoruns를 들여다보면서 깨우친 거죠........
 
하나 더 볼까요?

 

 

위 그림에서 빨간 박스를 친 SysTray 항목은 뭘까요?
아마 항목 이름만 보고도 추측이 가능한 분들도 계셨을 건데요.

추측하신 대로 SysTray 항목 앞의 체크를 해지하게 되면
모니터 화면 오른쪽 아래에 보이는 시각과 아이콘들이 표시되는 시스템 트레이가
없어지게 됩니다.

보다 확장된 정보를 드리기 위해서
이 부분을 프로세스 익스플로러(Process Explorer)로 한 번 보면 아래처럼 확인이 가능합니다.

 

 

아! 너무 어려운 거 같죠?
그런데 사실은 하나도 안 어렵습니다.

그냥 조금만 관심을 가지고 Process Explorer든 Autoruns든
자주 실행을 시켜 놓고 자주 관찰하면 누구든지 글벌레 정도는 됩니다.

Autoruns 11.5부터는

 

 

Timestamp란 게 추가가 되었는데요.
이건 각각의 시작 항목이 시스템에 추가된 시각
또는  
파일의 타임스탬프 정보를 표시하는 거로
시스템에 이상 발생 시 원인을 밝히기 위하여 시작점을 관찰하는데 도움이 될 수도 있습니다.
타임스탬프가 시스템 이상 발생 시점과 비슷한 게
시스템을 이상하게 만든 시작점일 수도 있으니까요.

이상 설명한 것들 역시 시스템 구성 유틸리티를 통해서는 뭐.... 안 되는 것들입니다.
이제 또 다른 경우를 볼까요?

 

 

요즘 많이 올라오는 질문들 중에 한 가지가
부팅 시에 위와 같은 창이 뜬다는 건데요.

지정된 모듈을 찾을 수가 없다는 메시지는
백신이 rundll32.exe에 물려서 실행이 되던 악성 파일인 임의의 숫자. txt만 삭제하고
그 시작점은 삭제를 하지 못한 경우이기 때문에
아래 링크 글에서 설명한 대로 조치를 하면 오류창 문제는 해결이 됩니다.

https://devotionnoath.tistory.com/691

그런데 문제는 위와 같은 창이 뜨는 경우에
백신들이 잡지 못한 악성코드들이 더 존재할 수도 있다는 겁니다.

아래 박스의 로그는 제가 질문자로부터 받은 Autoruns를 이용한 로그인데요.

[표 1]

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "" "" "" + "4C73726A" "" "" "c:\windows\4c73726a\svchsot.exe" "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run" "" "" "" + "C:\Users\home\AppData\Local\Temp\roijmow.exe" "" "" "File not found: C:\Users\home\AppData\Local\Temp\roijmow.exe" "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" "" "" "" + "Microsoft Windows" "Windows Mail" "Microsoft Corporation" "c:\program files\windows mail\winmail.exe" "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" "" "" "" + "Configuring" "" "" "c:\users\home\appdata\local\temp\140822.txt"

 

140822.txt라는 임의의 숫자. txt 형태의 악성 파일이 존재하는 경우

백신에 의해 이미 삭제가 된 파일이지만 roijmow.exe라는 악성 파일도 존재했었고,

또 백신에 의하여 진단되지 않은 svchsot.exe라는 파일도 있음이 보이실 겁니다

 

바로 이런 부분이 문제라는 건데요.

Autoruns를 활용하면

악성코드 감염의 흔적은 물론 백신이 잡지 못하는 악성코드도 보인다는 거죠.

 

위와 같은 경우에는

+ "4C73726A" "" "" "c:\windows\4c73726a\svchsot.exe"
라는 항목 앞의 체크를 해지한 후에

 

시스템을 재부팅한 후 svchsot.exe를 삭제함으로써 svchsot.exe는 잡는 거고요.

 

몇 가지 예를 통해서

Autoruns를 익히는데 도움이 될만한 설명을 드린 거 같은데요.

 

이상 Autoruns에 대한 간략한 설명을 마치는데요.

 

비스타, 윈도 7 그리고 윈도우 8의 경우에는

Autoruns를 이용해서 조치를 하려 할 경우

Autoruns를 관리자 권한으로 실행을 하셔야 합니다.
관리자 권한으로 실행하는 방법은 autoruns.exe에 마우스 대고
마우스 오른쪽 버튼 눌러 뜨는 메뉴에서 관리자 권한으로 실행하시면 됩니다.

 

 

처음부터 관리자 권한으로 실행하지 말고 그냥 실행 후 살펴보다가 만약 체크를 해지할 게 보인다면 체크 해지하면 관리자 권한을 달라는 창이 뜹니다.  거기에서 OK를 하면 autoruns가 관리자 권한을 가지고 리로드됩니다.  (2022년 12월 메모)

주의 - Autoruns는 잘못해서 주요 시작점에서 체크 해지를 할 경우 

          시스템이 부팅도 안 되게 할 수도 있는 도구입니다.

          그러므로 체크 해지를 해야 하는가 말아야 하는가 자신이 없을 때에는 

          일단은 체크 해지를 하지 말고 나만큼만답변해봐에게 질문을 먼저 하시기 바랍니다.  

         

  참조 - Autoruns 상에서 표시되는 노란색 , 분홍색은 파일 속성과 관련된 표시인데 

          크게 신경 안 쓰셔도 괜찮습니다.

 

참고 - 제목에 과격하게 시스템 구성 유틸리티를 버리라고 했지만 ,

          시스템 구성 유틸리티도 나름 우려먹을 만한 겁니다.

          다만 시스템 구성 유틸리티로는 안 되는 걸

          시스템 구성 유틸리티로 해결하려고 하지는 말라는 거죠.