TCPView , Process Explorer , Autoruns 를 이용한 시스템 분석

글벌레 , 다음 지식이나 네이버 지식iN에 답변하다가 보면
대다수 질문들이 실제로는 답변을 할 수 없는 질문들이란 사실에 놀랍니다 .

질문을
" 컴퓨터가 느려졌음 , 어케함 ?" 이런 식으로 올리는 사용자들이 많으니까요 .
거기에 한술 더 뜨면 저런 질문에 " 이상한 답변 올리면 신고함 ."이라고까지 덧붙입니다 .
답변을 할 정보도 없는 질문에 답변하기도 싫게 만들어 버리는 경우들이죠 .

그런데 질문들을 저렇게 올리는 것은
질문자들이 실제로 시스템에 대한 정보를 알아낼 방법들을 전혀 모르기 때문일 겁니다 .

그래서
오늘은 글벌레가 블로그에 소개했던 도구들 중에
시스템을 분석하는데 가장 도움이 되는 세 가지 도구를 가지고

백신이 진단을 못한다는 생각이 드는 경우에도
악성코드를 찾는 방법을 언급해 보고자 합니다 .

이 글을 상당히 어렵게 느낄 사람들이 있을지도 모르지만 ,

저 같은 경우에도 그냥 여러분과 같은 일반 사용자일 뿐입니다 .

아주 오래전이지만 저는 워드 프로세스를 처음 접했던 날을 생생히 기억하고 있습니다 .
워드 프로세스 상에 제목을 적고 제목을 가운데 정렬하고 싶은데
도저히 알 수가 없는 겁니다 .

지금 같으면야 제목 전체를 드래그하고 가운데 정렬 버튼을 눌렀겠지만
그때는 그걸 몰라서 몇 시간을 고민 고민하다가
스페이스 바로 제목을 가운데로 밀어냈습니다 . ㅠ ㅜ

아주 오래전이지만
저는 인터넷을 처음 하고자 했던 날도 생생히 기억을 합니다 .

천리안 전용 브라우저도 없던 시절 ,
천리안 VT 모드 파란 창에 www. 하고 주소를 아무리 쳐도 인터넷이 뜨기는 커녕
없는 명령어라나 뭐라나 하던 메시지만 잔뜩 보면서도
거의 30분 가까이 그렇게 인터넷에 접속한다고 노력을 했었습니다 . ㅠ ㅜ

그런 컴맹이 바로 저였습니다 .

그런데 지금은 주변에서 컴퓨터가 이상하면 우선 저에게 전화를 해옵니다 .
귀찮게시리 ㅠ ㅜ

왜 저는 남들보다 컴퓨터 사용에서 우위를 점하게 된 것일까요 ?
그 이유는 그냥 아주 조그만 관심이었습니다 .

예를 들어
저는 어떻게 하면
항상 시스템을 이전의 상태로 복원을 할 수 있는가에 대한 문제에 관심을 가졌었고

그런 관심은
윈도우 95 시절까지는 PKzip/Unzip을 활용하게 만들고
XP 이후의 시절에는 고스트 2003을 활용하게 만들었습니다 .
( 신기하게도 윈도우 98 시절에는 복원이란 과정이 없이도 제가 사용하던 모든 컴퓨터들을
별문제 없이 사용을 했었는데 , 이는 윈도우 95 시절에 윈도 95가 문제를 많이 일으켜서
거기서 얻은 경험들이 밑거름이 되어서 윈도우 98은 별문제 없이 사용을 했던 거 같습니다 .)  

시스템에 문제 발생시 이전 시점으로 완벽하게 복원을 할 수 있다는 것은
제 컴퓨팅 라이프를 많이 바꾸어 준 결정적 계기이기도 했고요 .

이런 조그만 관심들이 하나 둘 모여서
저는 제가 사용하는 시스템들을 남의 도움 없이도 유지를 하게 된 것이죠 .

그러므로 여러분도 조그만 관심만 가진다면
저만큼 컴퓨터를 다루지 못할 이유가 없습니다 .

본문에 앞서 혹 아직도 고스트라는 것을 모르시는 분들을 위해서 조금만 부언을 하면
고스트는 시스템이 문제가 없을 때 시점에서 백업 이미지를 만들어서

시스템이 문제를 일으켰을 때
백업 이미지를 이용해 그 이전의 상태로 시스템을 되돌리는 것입니다 .

저 같은 경우에는 
다수의 고스트 2003과 15.0을 보유하고 있는데
그것들은 카피 하나하나마다 사만 원 이상의 금액을 지불하고 산 것입니다 .

그런데 우리나라 사람들은 소프트웨어에 대한 비용 지출에 참 인색하죠 .
그게 우리나라 소프트웨어 업계의 발전을 저해하는 한 요소 같기도 하고요 .

어쨌든 그런 이유로
또 고스트란 것의 개념을 알려드리기 위해
아래 제가 오래전에 썼던 관련 글을 하나 링크해 놓습니다 .

아래 글에서 소개하는 프로그램은 집에서 사용하는 컴퓨터에는 마음껏 설치하고
사용해도 되는 무료 프로그램입니다 .

2010/11/16 - [프로그램 리뷰] - Paragon Backup & Recovery™ 10.1 Free Edition

윗글을 읽어보시고 뭔가 얻는게 있으시다면 아래 추천 박스의 추천 버튼을 마음껏 눌러 주셔도 됩니다 ^ ^*

그럼 이제 오늘 글을 시작합니다 .

사실 저 같은 경우에는 귀찮은 것을 굉장히 싫어합니다 .
그런 성격 탓에 저는 백신을 이용한 시스템 검사도 연례 행사처럼 하고 삽니다 .
(올해는 아직 전체 시스템 검사를 한 컴퓨터가 한 대도 없습니다 ...)

저는 거의 오로지 시스템마다 설치된 백신들의 실시간 감시들만을 활용하면서
시스템을 사용하고 있는데요 .

그럼에도 감염 때문에 어떤 피해를 받은 적 없이 시스템을 잘 사용하고 있습니다 .

혹 고스트를 사용하기 때문에 그런 것 아니냐고요 ?
사실은 고스트 이미지 생성과 복구란 작업은 시스템마다 이삼 년에 한 번 꼴이나 할까 ? 그렇습니다 .

물론 저처럼 시스템을 게으르게 관리하는 것은 바람직하지는 않습니다 .

보통의 사용자들은 최소한 두세 달에 한 번 꼴로는 백신을 이용해 시스템을 정밀 검사를
해주는 것이 좋을 것입니다 . 그리고 시스템 상황이 의심이 될 때도요 .

그런데
오늘 제가 쓰려는 글이
바로 시스템 상황이 의심될 때 글벌레가 취하는 방법을 쓰려는 겁니다 .
앞서 말했지만 , 저는 시스템 상황이 의심스러울 때도 귀찮아서 
백신을 이용한 정밀 검사는 안 합니다 .

그냥
TCPView , Process Explorer , Autoruns
 위 세 가지 도구를 이용해 시스템을 한 번 쑥 훑어보고 마는데요 .

제가 하는 이 짓거리가
혹 백신을 이용해서 검사를 하고도 시스템 상태가 의심스러운 분들이
혹시라도 백신이 못 잡거나 한 악성코드를 잡는데 도움이 될 겁니다 .

또 글벌레만큼 이 도구들을 활용하게 된다면
저처럼 활용하는 것도 가능할 터이고요 . > 게으름 피우기 ㅠ ㅜ

하다못해도 다음 지식 등에 질문을 올릴 때 시스템 상태를 조금이라도 더 파악해서
질문 올리는 것이라도 가능은 해질 겁니다 .

일단 사용자 설정 버튼이 달린 멀티미디어 키보드 사용자라면
TCPView와 Process Explorer 는 사용자 키에 등록을 하고 사용하는 것이 편리합니다 .
수상할 때 단축 키 누르면 그냥 곧바로 실행이 가능하게요 .
 
글벌레 , 시스템이 의심날 때 제일 먼저 하는 일은 TCPVIew를 실행하는 겁니다 .

TCPVIew의 경우에는 아래 관련 글에 자세히 설명을 해놓았기 때문에
기본적인 사항이나 다운로드 링크는 아래 관련 글을 참조하시면 됩니다 .

관련 글 : : 2010/04/06 - [Lecture/Computer] - 지금 이 순간 나는 해킹 당하고 있을까 ?
  
TCPView를 실행하면

 
여러분은 기대치 못했던 프로세스를 보는 경우가 있을 수 있을 겁니다 .

위 그림에서 보여준 것은
콘팅에 접속해서 드라마 파일을 다운로드 받을 때 상황을 캡쳐한 것으로
악성코드나 그런 것은 아닌 정상적인 상태인데

보여준 그림과는 달리 정상적인 것이 아닌 것 ,
특히 요즘 특정 웹하드 업체들이 시스템에 많이 심는 그리드 딜리버리 서비스들이
잡히는 경우가 생길 수 있을 겁니다 .

만약 뭔지 잘 모른다면
다음 , 네이버 , 구글등을 통해 TCPView에 보여지는 프로세스 명칭으로 검색을 하면
해당 프로세스가 그리드 딜리버리 서비스에 속한다면 알 수 있을 겁니다 .

만약 검색을 통해서 무엇인지 알 수 없는 경우에는
2010/01/17 - [프로그램 리뷰] - VirusTotal Uploader 2.0
2010/10/09 - [유용한 팁들] - virustotal (바이러스토탈)

위 두 개의 글을 참조해서 바이러스토탈에 검사를 보내보면
해당 프로세스의 악성코드 여부가 판단이 될 겁니다 .

참조 -

TCPView에 보이는
프로세스를 

더블 클릭하면

옆 그림에서 보이는 것처럼
해당 프로세스의 경로 파악이
가능합니다 .



악성 또는 그리드 딜리버리 프로세스로 파악이 되었다면
아래에 기술할 Autoruns 파트를 참조하시기 바랍니다 .

참고로 하나만 더 언급하면

현재 배포되는
TCPView에는

보낸 패킷과 받은 패킷을
표시하는 란이 생겼는데

이건 보낸 패킷이 비정상적으로 클 경우를
제외하고는
신경 쓸 필요가 없습니다 .



즉 , 위의 그림에서 빨간 박스친 받은 패킷에는 신경 쓸 필요가 없다는 말이고요 .

또 이게 마이크로소프트의 정책 변경으로 인하여
XP 운영체제에서는 TCPView를 실행하면 그냥 보이지만 ,
Vista 이상의 운영체제에서는 관리자 계정으로 로그인 후에 TCPView를 실행해야만 보이는 것으로 압니다 .

TCPView의 경우에는
프로세스 수준에서의 인터넷 접속만을 보여준다는 약점이 존재합니다 .

즉 , 인터넷 익스플로러 프로세스인
iexplore.exe에 무엇인가 붙어서 실행이 될 때는
TCPView에서는 iexplore.exe까지만 보여주므로
전혀 파악이 안된다는 말인데요 .
옆 그림은 iexplore.exe에 키보드 값을 전송하는
악성코드가 네이트온을 통한 감염으로 붙은
경우입니다 . 그런데 이런 경우에는 프로세스 이하의
수준에서 일어나는 일로 TCPView로는 파악이 안 됩니다 .

이런 경우는 프로세스 익스플로러라는 도구를 통해서 파악이 가능한데요 .

프로세스 익스플로러를 활용하는 방법과 다운로드 링크는 아래 관련 글에 
적어 놓았으니 참조바랍니다 .

관련 글 : : 2011/02/18 - [프로그램 리뷰] - Process Explorer (프로세스 익스플로러)

프로세스 익스플로러를 통해 수상한 것들을 찾았을 때도 
위에 언급한 바이러스토탈을 통해서 검사를 해서 악성 여부 판단이 가능합니다 .

참조 -

프로세스 익스플로러의 경우에도

프로세스나
프로세스에 붙은
라이브러리 파일들(.dll)을 더블 클릭시

파일의 경로 파악이 가능합니다 .











참고로 하나 더 언급하면

의심되는 프로세스나 라이브러리를 잘 찾지 못할 때에는
Company Name이 없는 것들부터 의심을 해보고
그중에 수상한 것들을 바이러스토탈을 이용해 검사를 해보시기 바랍니다 .

이제 TCPView와 프로세스 익스플로러를 통해
수상한 것을 찾는 방법은 어느 정도 감이 오셨을 겁니다 .

그럼 이제는 Autoruns란 툴을 이용해
TCPView와 Process Explorer를 통해 찾은 것을 처리하는 방법과

Autoruns 자체를 이용해 수상한 것을 찾는 방법을 언급해 보기로 합니다 .

우선 언급할 것은
Vista나 Windows 7의 경우에는

Autorns를 통해

아래에 제가 설명할 변경을
가하려는 경우에는 Autoruns
실행 파일에 마우스를 대고
우버튼을 클릭해 뜨는 창의
메뉴에서 관리자 권한으로
실행을 택하여 실행을 해야
한다는 점입니다 .


Autoruns의 기본적인 실행 방법과 다운로드 링크는 아래 관련 글에 적었으므로
아래 관련 글을 참조하시면 되는데요 .

관련 글 : : 2009/08/20 - [유용한 팁들] - 백신에 안잡히는 악성코드 잡아내는 법

윗글은
현재 시스템에 감염이 없다고 판단이 되는 경우 ,
특히 새 컴퓨터를 샀을 때 활용을 하면 아주 좋은 글입니다 .

이제 오늘 언급하려는 Autoruns 본론으로 들어가서

제가 위에서 TCPView와 Process Explorer를 통해서
수상한 프로세스 및 라이브러리를 찾고 그 경로를 알아내는 방법을 말씀드렸습니다 .

이제 Autoruns를 실행합니다 .

실행된 Autoruns에서
Everything 탭을 택해 놓고 (실행되면 기본값으로 이 탭이 택하여져 있습니다 .)
Image Path를 살피면서 쭉 스크롤을 하면
TCPView와 Process Explorer를 통해서 찾아 놓았던 바로 그 파일이 보일 겁니다 .

찾았으면 그 줄 앞의 네모에서 체크를 해지해 버립니다 .

그러면 해당 파일은 시스템에 존재를 해도 기능은 하지 못하는 파일이 됩니다 .

삭제 안 되는 악성코드 파일이었다면 이제 삭제도 가능해질 터인데요 .

그리드 딜리버리 서비스 관련 파일 같은 경우에는
Autoruns에서 체크를 해지하는 선에서 마무리를 짓기 바랍니다 .(삭제X)
그렇게 해놓으면 해당 그리드 딜리버리는 작동은 하지 않으면서
시스템에 존재는 하는 것으로 파악이 될 것이기 때문에
재설치가 되는 것을 방지할 수 있을 것입니다 .
 
프로세스 익스플로러에서 Company Name이 없는 것을 먼저 수상한 것으로
간주하라고 했었는데요 .

이는 Autoruns의 경우에도 마찬가지여서
Autoruns에서 위 그림에서 보이는 Publisher 란에 아무 것도 없는 것은
우선 의심스러운 것으로 간주를 하고
위에 언급한 바이러스 토탈을 이용해 검사를 해보시기 바랍니다 .

주의 - Autoruns는 잘못 건드릴 경우 시스템이 부팅 불능이 되게 만들 수도 있는 도구입니다 .
         그러므로 확신이 서지 않는 경우에는 체크 해지 하는 일을 하지 마시기 바랍니다 .
 
주의 - 백신의 실시간 감시는 항상 켜져 있어야 합니다 .
          또한 저처럼 게으름 피우지 마시고 가끔은 백신을 이용해 전체 시스템을 정밀 검사하시기 바랍니다 .

저는 오늘 그동안 흩어져 있었던 것으로 느껴져 통합이 필요하다고 느껴졌던 제 글들을
하나의 글로 묶는 작업을 했는데요 .

저는 오늘 분명히 이 글을 통해 여러분들이 파워 유저가 되는 방법을 제시했습니다 .

이 글 본문은 물론
이 글에 포함된 링크들 , Paragon Backup & Recovery™ 10.1 Free Edition부터 시작해서
포함된 모든 링크들과 또 링크된 글들 속의 링크들까지 모두 숙독하신다면
그렇게 하신 분들은 분명히 파워 유저가 됩니다 .

이제 컴퓨터 도사가 되느냐 못 되느냐는 여러분에 선택에 달렸네요 ^ ^*

이 글을 유익하셨다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러주시기 바랍니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*

추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄겁니다 ^ ^*