루트킷 탐지 – 도구들

루트킷 탐지 – 도구들

수동으로 루트킷이 활용하는 후킹을 탐지한다는 것은 여간 어려운 일이 아니다. 그리고 대부분의 후킹 도구들은 본인을 감추는 기능도 함께 내장하여 일반적인 프로세스 및 드라이버 리스트에서 나타나지 않게 된다. 이렇게 스스로를 감추고 동작하는 도구들을 관리 권한보다 높은 권한으로 실행된다고 하여 루트킷이라고 한다(관리 권한으로도 삭제할 수 없도록 만들 수 있기 때문이다). 이 같은 경우 탐지도 어렵고 후킹 유무를 발견하였다 하여도 삭제조차 진행이 되지 않을 수 있다. 따라서 루트킷을 빠르게 탐지하고 이를 삭제할 수 있는 유용한 도구들에 대해 여기서 설명하도록 하겠다. 이 도구들은 백신과 같아, 도구 이용법이 간단 하므로 간략히 소개하는 정도로 마무리 하도록 하겠다. 후킹 탐지 유무는 앞서 제작한 후킹 프로그램을 이용하여 확인해 보도록 하자.

HookShark

후킹 부분에 특화된 도구로서, 현재 시스템에서 후킹된 프로그램과 후킹 타입을 알 수 있다. 아래에서 다운로드 가능하다.

http://www.gamedeception.net/content/166-HookShark-BETA-0-9-%28with-a-vengeance%29

루트킷 탐지 – 도구들

[그림] HookShark 메인 화면

GMER

커널 후킹부터 유저모드 후킹까지 넓은 범위로 사용할 수 있는 도구로 필자 역시 유용하게 사용하는 도구 이다. http://www.gmer.net/에서 다운로드하여 사용할 수 있다.

[그림] GMER 메인 화면

Kaspersky TDSSKiller

Kaspersky Labdptj 제작한 도구로서, Rootkit과 Bootkit(MBR포함) 그리고 Win32.TDSS로 제작된 악성코드를 탐지해 준다. 아래에서 다운로드 가능하다.

http://support.kaspersky.com/faq/?qid=208283363

[그림] 카스퍼스키에서 무료로 제공하는 안티루트킷

Avast Anti-Rootkit

MBR 루트킷으로 유명한 TDL4/3와 MBRoot(Sinowal)등과 같은 MBR 루트킷을 전문적으로 검색한다. 아래에서 다운로드 가능하다.

http://public.avast.com/~gmerek/aswMBR.htm


[그림] MBR 후킹 유무를 탐지할 수 있다

Sophos Anti-Rootkit

GMER과 비슷한 루트킷 종합 도구로 많이 이용되는 도구이다. 필자 역시 GMER과 함께 종종 이용하였다. 아래에서 다운로드 가능하다.

http://www.sophos.com/en-us/products/free-tools/sophos-anti-rootkit.aspx

[그림] 인지도가 높은 안티 루트킷 도구

http://www.anti-malware-test.com에 방문해 보면 루트킷의 탐지 여부를 테스트한 결과를 통해 우수 루트킷을 선별하는데, 해당 자료를 참고하여 루트킷 별로 잘 탐지하는 부분을 사전에 알아두었다가 검사에 이용하면 용의할 것이다. 루트킷 이외에도 여러 안티 바이러스에 대해 테스트를 진행하므로 해당 자료들도 살펴보기 바란다.

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.