▶ 보안 관련 정보 및 팁

[잡담] natsvc.exe 프로세스 실행 차단하기

물여우 2012. 5. 14. 08:30
반응형


최근 한 지인의 PC를 손 봐주다가 친숙한 프로세스를 보았습니다. 웹하드 이용시 자주 볼 수 있는 natsvc.exe파일로, 아주 당당하게 메모리에 상주하고 있는 상태였습니다. 이 프로세스는 사용자 PC의 자원을 이용하는 그리드 딜리버리 서비스에 사용됩니다.

친숙한 좀비 프로세스


일부 웹하드(주로 무료 쿠폰을 뿌려대는 웹하드들)의 경우 그리드 서비스의 시스템 자원 사용량이 엄청나서 악성코드라 해도 과언이 아닌데, 덕분에 저사양 pc에는 아주 치명적인 항목입니다. 사실 지인의 pc가 저사양은 아니고 사용하는 웹하드의 상태(?)가 비교적 나빠 보이지는 않았지만, 찝찝한 마음에 일단 실행을 차단하기로 하였습니다.
저도 웹하드를 사용하는지라 natsvc.exe를 차단한 적이 있었는데, 그때는 차단 방법이 아주 간단해서, 서비스 실행을 중지 후 시작 유형을 "사용 안 함"으로 설정 하기만 하면 그리드 딜리버리 프로세스가 자동 실행되는 것을 차단할 수 있었습니다. 

하지만 지인 pc에서 발견한 natsvc.exe는 나름 버전이 업데이트 되었는지, 웹하드 다운로드 클라이언트를 실행하면 서비스를 자동으로 시작하고 시작 유형을 "자동"으로 다시 설정하며 natsvc.exe 파일을 항상 재구동하는 것을 확인했습니다.

관리자 권한 문제인지 os 차이인지는 모르겠지만 윈7의 경우 재부팅하면 프로세스가 다시 상주하고, xp의 경우 재부팅도 필요 없이 바로 프로세스가 실행되버리더군요.

다시 실행된 natsvc.exe


웹하드 클라이언트의 서비스 항목 변경을 차단하던가 natsvc.exe의 실행을 차단하는 방법을 찾아야 했는데, 처음에는 윈도우 7(지인 pc가 윈7)에 도입되어 있는 Applocker 기능을 이용해서 natsvc.exe 실행을 차단하려고 했습니다. (uac 기능은 애초에 생각을 안 한게 관리자 권한으로 구동 중인지라...)

일반적인 실행 차단 방법

이 역시 관리자 권한 문제인지는 모르겠습니다만, applocker 기능도  '소프트웨어 제한 정책'처럼 서비스로 등록되어 실행되는 프로세스는 실행을 차단하지 못하였습니다.  


서비스 항목을 삭제 후 natsvc.exe를 언인스톨하기도 했는데, 이 역시 웹하드 클라이언트를 구동하는 순간 재설치되는 것을 확인하였습니다.

natsvc.exe를 재설치하는 모습


'HIPS 기능 같은 고급 기능을 이용해야 하는가' 하며 툴툴 거리고 있었는데, 해답은 생각보다 간단했습니다. natsvc.exe 파일 자체는 그대로 남긴 상태에서 서비스 항목만 삭제하면 서비스 항목을 재생성하거나 설정 변경을 시도하지 못하는 것이었습니다.

왜 그럴까 살펴보니 웹하드 클라이언트는 natsvc.exe 파일의 존재 유무를 먼저 살펴본 후 natsvc.exe 파일이 없으면 재설치를 감행하며, natsvc.exe 관련 서비스(NATService)를 항상 재설정하도록 구성되어 있습니다. 이때, natsvc.exe 파일이 존재하면 재설치를 하지 않기 때문에, 설치 과정에서만 구동되는 서비스 항목을 등록시키는 파일도 실행이 안되어 삭제된 서비스 항목을 다시 생성할 수 없언던 것입니다.

 

아주 단순한 임시방편이지만, 윈도우 자체적으로 할 수 있는 방법이 딱히 생각 안나서 일단 적용!!


참고로 natsvc.exe를 종료하고 서비스 항목을 삭제하는 방법은 아래와 같습니다.
▶ 시작->실행-> 'cmd' 입력 (XP 기준, 윈7은 시작 -> 하단 부분 입력창에 'cmd' 입력)
   이후 cmd 창에서 아래 명령어 입력
 ->   sc stop "natservice"
 ->   sc config "natservice" start= disabled
 ->   sc delete "natservice

※ 위 명령어 입력이 어렵다면 아래 배치 파일을 사용하시기 바랍니다.


제대로 입력했을 경우 아래와 같은 화면을 볼 수 있습니다. 시작시 '사용 안함' 설정은 하지 않아도 무방합니다.

참고로 꽤 오래전에 뽐뿌에서 공유했던 그리드 딜리버리 차단 배치 파일도 사용해보시기 바랍니다. 다만 아래 배치 파일의 방식도 1회성 임시방편인데다가, 오랫동안 업데이트가 안 되고 있습니다. 그리드 딜리버리용 프로세스 파일이 변경되거나 다른 이름을 갖고 있을 수도 있어 효과가 없을 수도 있지만 시스템에 특별히 영향을 주는 것도 아니어서 일단 해봐도 무방할 듯 합니다.


 




- 이상입니다.
반응형