윈도우 분석 프로그램 autoruns

by 파시스트 posted Sep 10, 2015
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄

1. 소개

윈도우시스템이 부팅되면서 실행되거나 은닉하게 되는 악성프로그램들을 확인하고자 할 때 autoruns 프로그램을 사용한다. autoruns 프로그램은 윈도우 시스템이 기동되면서 사용자가 로긴하기까지 올라오는 각종 드라이버 및 DLL파일, 서비스 그리고 시작 프로그램 목록들을 한눈에 보여준다.

 

2. Down 받기

https://technet.microsoft.com/en-us/sysinternals/bb963902  사이트에 autoruns를 다운로드 받을 수 있다.

 

3. 사용방법

 

3.1. 탭 윈도우 설명

autoruns를 실해하면 여러개의 tab윈도우가 나타나며 각 탭별로 다음과 같은 내용들을 보여준다.

  • Everything : 윈도우가 부팅되면서 로드되는 모든 DLL과 Device driver 및 프로그램들을 보여준다.
  • Logon : 윈도우 부팅 후 사용자 로긴 후 실행되는 실행프로그램 목록을 보여준다.

222.jpg


 

  • Explorer : 한글로 탐색기라고 하는 프로그램을 말한다. 윈도우는 이 프로그램을 기본 쉘(OS 커널위에 로드되어 사용자 인터페이스를 담당하는 것)로 사용한다. 이 기본 쉘이 실행되면서 동적으로 포함하는 각종 라이브러리들을 보여준다. 일부 악성코드들은 explorer가 실행되면서 포함되는 동적 라이브러리형태로 링크하여 일반적인 파일 삭제로 삭제되지 않으면서 자신을 숨겨놓는다.

 2.jpg


 

  • Internet Explorer : IE 브라우져를 실행할 때 자동으로 로드되는 각종 Plug-in 라이브러리들을 보여준다.

3.jpg


 

  • Services : 윈도우 로긴 후 올라오는 각종 서비스 프로그램 목록들을 보여준다.
    일부 악성프로그램들은 마치 정상적인 서비스인 양 서비스에 자신을 등록하여 매 부팅 시마다 자동으로 실행될 수 있도록 한다. 

4.jpg


 

  •  Drivers : 윈도우 시스템의 주요 하드웨어 및 장치관련 파일들을 보여준다. 

5.jpg




3.2. 사용방법
Autoruns를 실행하여 시스템 주요 서비스 및 장치파일 그리고 시작 프로그램들에 대해서 Entry 명, Description 필드와 Publisher 필드의 내용을 확인한다. 만약 의심스러운 파일이나 서비스가 있는 경우, 아래의 화면처럼 의심스러운 항목을 선택한 다음 우측 마우스를 클릭하여 Verify를 선택한다. autoruns 프로그램이 선택한 항목에 대해 정상적인 publisher인 경우 (Verified)라고 표시된다. 만약 검증되지 않는다면 의심스러운 파일로 간주할 수 있다. 의심스러운 파일이 확실한 경우에는 해당 항목을 선택한 후 우측 마우스 버튼을 클릭한 다음 'Delete'를 선택하여 삭제한다.

6.gif




추가적으로 선택한 항목과 관련된 프로세스가 무엇인지 확인하려면 우측 마우스 버튼을 클릭한 후 'Process Explorer'를 선택한다. 그러면 'Process Explorer' 프로그램이 호출되면서 연관된 프로세스를 보여준다.

출처 - http://blog.naver.com/csyimkor/24679325






Articles

1 2 3 4 5 6 7 8 9 10