본문 바로가기
프로그램 리뷰

HijackThis - 시스템 settings 보기

by 글벌레 2009. 2. 14.
반응형

트렌드 마이크로가 HijackThis 배포를 중단해서 본문 안의 링크들은 제거되었습니다(2022년 11월 메모).

오늘은 시스템의 설정을 아주 빠른 속도로 스캔해서 보여주는
HijackThis란 프로그램을 소개 하고자 합니다. 

고지 

HijackThis는 시스템의 설정을 스캔할 뿐 스캔된 것이
해로운 것인지 , 아니면 정상적 설정인지는 밝히지 않습니다.
다만 , 스캔된 정보로부터 말웨어의 행동으로 의심되는 것을 찾는 도구일 뿐이므로
스캔되어 제시되는 정보의 거의 다는 정상 설정들입니다.

 이런 이유로 HijackThis의 스캔 사항을 함부로 Fix하게되면
시스템이
구제 불가능한 상황에 빠질 수 있습니다. 

HijackThis 소개 페이지 링크 

링크 제거됨.

HijackThis 다운로드 페이지 

링크 제거됨.

HijackThis는 기본적으로 무설치형 프로그램입니다.

위 링크 방문시 보이는
세 개의 다운로드 링크 세 개중 어느 것을 다운로드해도 별 상관 없습니다.

첫번째 인스톨 다운로드는 HijackThis의 시작>프로그램 메뉴를 만들어 주어
실행을 편하게 해줄 뿐이고,

(물론 Fix 실행시 되돌릴 백업 저장에는 설치 버젼을 받는 것이 좋습니다.)

기본적으로는 두번째 세번째 다운로드에서 다운 받는
HijackThis.exe를 그냥 더블 클릭해 실행시키면 되는 것입니다.

다만 유의할 점은

설치형으로 설치하는 것이
HijackThis가 fix한 것을 되돌릴 백업 사항을 잃지 않고 유지

하는데
큰 도움이 된다는 것입니다.

그러므로 고급 사용자가 아니라면 설치를 권합니다 .
설치를 하는 것이 가장 안전하게 사용하는 법이고 ,
가장 잘 활용하는 법으로 보입니다. 

참고로 아래 HijackThis™ 설치 시 시스템 변경 사항입니다. 

 아래 보시면 알겠지만  HijackThis는 세개의 파일(보라색 형광펜)만 추가합니다.
그런데 빨간 형광색의 폴더가 있느냐 없느냐가
특히 초보 사용자에게는 주요 문제가 될 수 있습니다.

HijackThis가 설치되면서 추가한 레지스트리는 다음과 같습니다. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HijackThis

 

HKEY_LOCAL_MACHINE\SOFTWARE\Trndmicro\HijackThis

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
"HijackThis"="C\Program Files\Trend Micro\HijackThis\HijackThis.exe"

 

System Requirements

 Operating System:

Microsoft™ Windows™ Vista
Microsoft™ Windows™ XP
Microsoft™ Windows™ 2000
Microsoft™ Windows™ Me
Microsoft™ Windows™ 98

Software:

Microsoft Internet Explorer 6.0 or 7.0
Mozilla™ Firefox™ 1.5 or 2.0  

HijackThis.exe를 실행시키면 아래와 같은 창이 뜨게 됩니다. 

그림 1 .

우선

을 클릭해 열어보기로 합니다.

 

를 누르면 시스템의 시작점들을 보여주게 됩니다.

를 체크하게 되면 
Autorun등 더 디테일한 시작점들도 표시하게 됩니다.

까지 체크하게 되면
현재 파일이나 레지스트리 키가 존재하지 않는 시작점들까지 모두 보여 주게 됩니다.

을 클릭하면 작업관리자 역활을 하는 도구가 뜹니다.

을 쿨릭하면 호스트 파일을 보고 편집 가능한 도구가 뜹니다.

여기서 호스트 파일의 라인을 지울 수 있고(Delete)
무시할 수도 있고(#붙이기 ,Toggle)
또 노트패드에 띄워서 편집도 가능합니다.

을 클릭하고 파일을 지정해 주게 되면
해당 파일은 다음 번 부팅시 제거됩니다 .
지정시 다음과 같은 창이 뜨는데 아니요 누르고 나중에 재부팅해도
파일은 자워질겁니다.

를 이용해 HijackThis로 스캔 된 결과에 제시된

서비스 항목을 제거 가능합니다. 단, 이는 백업되지 않으므로 주의해야 합니다.

를 클릭하면
Alternate Data Streams (ADS)를 검색 가능한데 ,
이게 찾아진다고 그 것이 곧 취약점이라 할 수는 없으므로,
함부로 삭제하면 곤란 할 수 있습니다. 

참고로 언급하면 Alternate Data Streams (ADS)는 일종의 숨어있는 thread라고
이해하는 것이 가장 직관적인거 같습니다.

를 클릭하면 프로그램 언인스톨과 관련되어 뜨는데
별다른 기능은 없습니다.

다만 주의할 점은 

를 누르는 것이 프로그램 삭제를 의미하지 않는다는 것입니다 .
이 것은 프로그램 추가/제거에서 해당 프로그램의 표시(제목)만 지우며
프로그램 자체는 건드리지 않습니다.
즉 , 어떤 프로그램 제거후에도 해당 프로그램 이름이
프로그램 추가/제거에 계속 있을시 쓸 수 있는 기능입니다.

를 누르면
HijackThis가 Fix시 백업한 내용이 저장되어 있어서
HijackThis가 수정한 사항을 되돌 수 있는 기능을 제공하는 것입니다.

는 스캔 결과에서 예외 목록으로 정했던 것을
도로 포함시키려 할 때 가야 하는 장소를 표시입니다.

에서 다음 세가지 정도는 주의하여야 합니다.

Fix 前에 되돌리기 위한 백업을 합니다.

수정이나 예외 처리전에 묻습니다.

HijackThis가 시작 페이지 고정을
Fix할때 msn을 시작 페이지(Default Start Page)로 합니다.

MSN이 아닌 다른 시작 페이지를 원하면 원하는 페이지로 고칩니다. 

이외 것은 그냥 아래 그림처럼 기본 설정이면 될 걸로 보입니다.

이제 스캔 과정입니다. 

맨 위의 그림 1 .에서

(로그 파일도 생성)



누르고

누르면 아래 같은 스캔 결과 창이 뜹니다.

그림 2 .

Fix checked는 앞에 보이는 없애길 바라는 라인 앞의
ㅁ에 체크하고 누르면 수정되는 스위치입니다.

Info on selected item...
은 어떤 라인을 택하고
이 것을 누르면 해당 라인에 대한 간단한 설명을 주는 스위치입니다. 

Main menu그림 1 .로 되돌아가는 스위치입니다. 

그리고 예외항목 등록하기는 Add checked to ignorelist 입니다.

Config...는 위에 설명한 세가지 주의하라는



을 띄우는 스위치입니다.

Anlyze this는 해당 항목을 트렌드마이크로로 제출인데
이게 엔진에 반영될 사항이면 될수 있을지는 모르겠지만 ,
HijackThis에 대한 고객 지원은 없다고 trendmicro에서 밝히고 있는 이상
답장은 없으리라 봅니다....
(누르면 어차피 올린이 신원 밝히는 과정도 없으므로.....) 

Info...를 누르면 아래와 같은 정보가 뜨니 숙지 바랍니다. 

The different sections of hijacking possibilities have been separated into the following groups.
You can get more detailed information about an item by selecting it from the list of found items OR highlighting the relevant line below, and clicking 'Info on selected item'.

 R - Registry, StartPage/SearchPage changes
    R0 - Changed registry value
    R1 - Created registry value
    R2 - Created registry key
    R3 - Created extra registry value where only one should be
 F - IniFiles, autoloading entries
    F0 - Changed inifile value
    F1 - Created inifile value
    F2 - Changed inifile value, mapped to Registry
    F3 - Created inifile value, mapped to Registry
 N - Netscape/Mozilla StartPage/SearchPage changes
    N1 - Change in prefs.js of Netscape 4.x
    N2 - Change in prefs.js of Netscape 6
    N3 - Change in prefs.js of Netscape 7
    N4 - Change in prefs.js of Mozilla
 O - Other, several sections which represent:
    O1 - Hijack of auto.search.msn.com with Hosts file
    O2 - Enumeration of existing MSIE BHO's
    O3 - Enumeration of existing MSIE toolbars
    O4 - Enumeration of suspicious autoloading Registry entries
    O5 - Blocking of loading Internet Options in Control Panel
    O6 - Disabling of 'Internet Options' Main tab with Policies
    O7 - Disabling of Regedit with Policies
    O8 - Extra MSIE context menu items
    O9 - Extra 'Tools' menuitems and buttons
    O10 - Breaking of Internet access by New.Net or WebHancer
    O11 - Extra options in MSIE 'Advanced' settings tab
    O12 - MSIE plugins for file extensions or MIME types
    O13 - Hijack of default URL prefixes
    O14 - Changing of IERESET.INF
    O15 - Trusted Zone Autoadd
    O16 - Download Program Files item
    O17 - Domain hijack
    O18 - Enumeration of existing protocols and filters
    O19 - User stylesheet hijack
    O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
    O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
    O22 - SharedTaskScheduler autorun Registry key
    O23 - Enumeration of NT Services
    O24 - Enumeration of ActiveX Desktop Components

Command-line parameters:
* /autolog - automatically scan the system, save a logfile and open it
* /ihatewhitelists - ignore all internal whitelists
* /uninstall - remove all HijackThis Registry entries, backups and quit
* /silentautuolog - the same as /autolog, except with no required user intervention

 아,, 하나 첨언하면 위 그림 1. 의 창에서


위 체크를 풀고 실행하면 다음번 실행때부터는 그림 2 .의 창으로 실행됩니다.

이 정도면 모든 설명을 다한 것같습니다.....

다시 한번 말씀드리지만 HijackThis는 진단 도구가 아닙니다.

시스템의 settings를 보여주기만 할 뿐이고 판단은 각 사용자가 하여야 하는 것입니다....

잘모르시는 것을 Fix 하여 곤란에 빠지는 일은 없어야겠습니다.

반응형

댓글