본문 바로가기
유용한 팁들

Autoruns 활용 .

by 글벌레 2009. 3. 15.
반응형

sysinternalsAutoruns는 활용도가 높은 프로그램입니다.

Autoruns에 대하여 조만간 독립적인 포스팅을 할 예정이지만,
그 전에 우선 여러분들께서 과연 내가 악성툴에 감염되었을까 하는 의문을 조금이나마
스스로 풀어볼 수 있는 Autoruns의 기능을 소개해 보고자 합니다.

아래 링크에 들리어

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

 

Autoruns for Windows - Sysinternals

See what programs are configured to startup automatically when your system boots and you login.

learn.microsoft.com

를 클릭해 Autoruns.zip을 다운로드 합니다.

압축을 풀고 Autoruns.exe를 실행합니다.

(이 그림은 sysinternals에서 퍼와 가공하였습니다.)

위 그림에 제가 여기를 보세요 .라고 표시한 부분을 보시면,
(Escape to cancel)Scanning 이라고 보이실 겁니다.

Autoruns는 실행시 시작점들을 10에서 20초 정도 스캔을 하고 이 때 이런 메시지가 표시되는 것입니다.

여기를 보세요 .의 메시지가 ready 라고 바뀌면 다음과 같이 해봅니다.

autoruns 메뉴줄에서 저장하기를 이용해 시작점의 정보를 텍스트(.txt)로 저장합니다.
(이제는 .txt가 아닌 .arn으로 저장해야 할 겁니다 - 2023년 1월 메모. 그래도 비교가 잘 안 됩니다.)
이상이 autoruns에서 시작점 정보를 저장하는 방법입니다.

 
위에서 시작점 정보를 텍스트로 저장하는 방법을 알아보았습니다.

그렇다면 이 것이 어떤 의미가 있을까요?

어느날 시스템에서 이상한 것들이 지마음대로 뜨거나 뭔가 이상한 점이 느껴집니다.

그런 때 다음과 같이 해 봅니다.

autoruns를 실행하고 ready가 될 때까지 기다립니다. 레디가 되면
autoruns 메뉴줄에서 compare를 택해 클릭합니다.



그러면 아래와 같은 창이 뜹니다.


거기서 내가 예전에 저장한 autoruns 텍스트 문서를 찾습니다.
저처럼 날짜별로 가끔은 저장해 놓는 것이 시스템 분석에 유리합니다.

이제 예전 날짜 것을 택하여 열면,

예전에 없던 시작점이 새로 생긴 경우는 아래 그림처럼 
초록색 줄로써 새로 생긴 시작점을 표시하여 줍니다.


위 초록줄이 뜻하는 것은 2008년 11월 27일의 제 컴퓨터에는
알약과 V3 Lite가 설치되어 있지 않았단 뜻입니다.

이상 보여드린 방법에 따라 스스로 악성코드를 찾을 준비를 해놓고,
시스템이 이상할 때 스스로 찾아볼 수도 있다는 생각이 들지 않습니까?

주의 !!

아래 그림 보시면 옵션에 Hide Microsoft Entries란 게 보이는데
비교를 위해 저장했던 파일과 햔재의 상태가 여기 체크 유무가 같아야 합니다.



만약에 초록생이 autoruns 화면을 꽉 채울 정도로 뜨는 경우가 생긴다면
저장했던 파일은 Hide Microsoft Entries 앞에 체크를 해 놓고 스캔해 저장했고,
현재 스캔 상태는 Hide Microsoft Entries 앞에 체크가 안 된 경우입니다.

반응형

댓글