본문 바로가기
프로그램 리뷰

Rootkit Buster

by 글벌레 2009. 4. 4.
반응형

트렌드마이크로가 제공하는 루트킷 검출 프로그램을 안내해 봅니다.

루트킷이란 것을 쉽게 설명한다면 자신이 마치 윈도우 등 운영 시스템의
일부인척 가장을 하여 검출을 어렵게 한다고 간략히 말할 수 있습니다.

이런 이유로 루트킷을 검출한다는 것 또한 쉬운 일이 아니어서
전문적인 루트킷 탐지 프로그램들이 배포되기도하는데,
대개 한번 배포 이후 잘 업데이트가 되지 않아서 그 효용성이 굉장히 낮을 것으로
보입니다. ( 주 : 루트킷은 Malware 자체로 또는 거기에 묻어서 들어오기도 하지만,
일단 시스템에 설치되는 루트킷들은 시스템에 침입하는 악성코드들이 공용으로
이용하는 자원이 되기도 하는 것으로 압니다. 루트킷은 대표적인 형태들 몇 가지로
나뉘는 것으로 보이지만, 이 역시 새로운 것들, 변형들이 나올 것이므로 그 검출
프로그램의 업데이트도 종종 필요할 것인데, 소포스 제공은 그 릴리스 노트로 볼 때 ,
2007년 3월에 머물고 있고 , sysinternals 가 제공하는 루트킷 리빌러는 2006년
11월 1일에 머물러 있어 아쉬움이 있었던 바였습니다.)

그런데 오늘 우연히 Trendmicro가 최근에 새롭게 업데이트한
루트킷 버스터란 것을 알게되어 그 소개를 드려 봅니다.

Rootkit Buster는 무설치형입니다.
아래 링크에서 다운로드 받은 압축 파일을 풀어 실행을 시키면 됩니다.

 링크가 더는 유효하지 않아 삭제 (2022년 11월 메모).


지원하는 운영체제는 아래와 같으며
64비트 운영체재는 지원하지 않는다고 합니다.

Microsoft(TM) Windows(TM) 2000 Professional/Server/Advance Server
   -  Microsoft Windows Server(TM) 2003 Standard/Web/Data Center/
                                        Enterprise Server
   -  Microsoft Windows XP Home/Professional SP2 또는 SP3
   -  Microsoft Windows Vista(TM) SP1 또는 SP1 설치안된 비스타

저는 Windows XP 에서 실행하였습니다.

아래는 실행된 메인 창의 모습입니다.
(검사를 진행한 후 스크린 샷을 잡아 검사가 진행중입니다.)


위 그림에서 빨간 박스친 부분을 보시면 검사해주는 영역을 알 수 있는데,
그 영역은

master boot record (MBR) ,
hidden files ,
registry entries ,
processes,
drivers 입니다.

검사가 끝나면 아래 그림처럼 로그 파일을 보겠냐고 뜹니다.
(물론 빨간 박스 쳐놓은 Delete Selected Items를 통해 제거도 가능합니다.)


아래는 로그 보기를 한 것입니다.
저의 시스템에서는 발견된 것이 없군요.......


스캔 시간이 상당히 빨라서 5분 정도 내외 걸린 것으로 보입니다.
물론 이는 시스템 사양에 따라 더욱 빨라지거나, 느려질 수도 있습니다.
또 주의하실 점이 이것으로 스캔을 한 것이 바이러스 및 스파이웨어를 검색한 것은
(부분적으로는 그렇기도 하지만) 아니다 - 즉, 악성코드 검출을 위한 백신의 스캔을
대체할 수 없다는 것입니다.

그리고 한 가지 알려진 문제점이 있으니,
Seneka라고 검색된 루트킷을 제거 시 시스템이 부팅이 안 될 수도 있다고 합니다.

이 문제를 해결하기 위하여는
Windows 복구 Console로 부팅해,
%system%\drivers\seneka*.sys를 제거해야 한다고 합니다.
(%system%는 시스템 폴더로 일반적으로 windows\system32입니다.)

만약 위 루트킷을 제거하게 되는 경우
윈도우 복구 콘솔 적용 전에 
위에서 삭제해야 한다는 파일을 아래 관련 글로 소개하는
Pendmoves 방식으로 지워도 되지 않을까 한번 생각해 봅니다.
물론 Seneka 제거후 재부팅 전에 삭제 예약을 하셔야 할 것입니다 .
(직접 감염되어 보질 못해서 추정만 해봅니다.)

관련 글 보기

2009/02/04 - [유용한 팁들] - movefile 활용

글을 마치기 전에 몇 마디만 첨언한다면,
안철수연구소도 4월 중순경 자사 홈페이지를 통해 
루트킷 검출도구(Ahnlab Anti-Rootkit TrueFind)를 배포한다는 뉴스도 보이더군요.....

반응형
저작자표시 비영리 변경금지

'프로그램 리뷰' 카테고리의 다른 글

Autorun Eater v2.4  (1) 2009.06.10
Sandboxie - 절대로 악성코드에 안걸리는 웹 서핑 하기  (176) 2009.05.20
TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 )  (16) 2009.05.08
Registry Fix Tool - 안철수연구소 제공  (4) 2009.04.08
My Uninstaller  (0) 2009.04.02
ThreatFire - 행동 기반 악성코드 진단 도구  (0) 2009.03.29
파이어폭스 ( Firefox )  (0) 2009.03.26
RegFromApp  (0) 2009.03.24

관련글

댓글

티스토리툴바