반응형
Autoruns 항목은 시스템 시작시 자동 실행되는 객체에 대한 정보를 보여줍니다.
해당 항목에서 보여주는 정보는 아래와 같습니다.
클릭후 확대하여 보시기 바랍니다.
개인적으로 모르는 부분이 상당히 많습니다.
Registry/Startup File/AutoStart Menu/Tricky StartUps/schedule 등 5가지 영역에 걸쳐 시스템 시작시 자동실행되는 객체들의 정보를 보여줍니다. 전에 메뉴에서 Services 메뉴의 정보까지 합치면 시스템이 시작시 구동되는 거의 모든 객체의 정보를 알 수 있습니다.
보통 위의 최상위 항목과 하부 항목을 더블클릭하면 Regedit나 노트패드 등이 열리며 각 항목에 대한 설정을 사용자가 직접 조정할 수 있습니다.
① Registry는 각 계정과 시스템 항목의 시작프로그램 항목과 관계된 정보를 보여줍니다.
하위 폴더로 구성된 Run/RunOnce/RunOnceEx/RunService/RunServiceOnce 등은 모두 시스템 시작시
실행되는 객체들이 설정이 저장되는 레지스트리 영역입니다.
Run : 시스템이 시작할 때마다 영구적으로 계속 실행됨
RunOnce : 시스템 최초 시작시에만 구동. 구동된 후 자체적으로 레지스트리 삭제.
RunOnceEx : RunOnce와 동일하나 주로 프로세스 구동과 연관됨
RunService : WinXP 이후 버전에서는 사용하지 않는 영역, 서비스 항목처럼 백그라운드로 구동
RunServiceOnce : 역시 WinXP 이후에는 사용되지 않음. 최초 실행 후 그 후에는 구동되지 않음
② Startup file은 Win.ini나 System.ini 파일 등에서 구동되는 객체의 정보를 보여줍니다.
③ Autostart Menu는 "C:\Documents and Settings\사용자 계정\시작 메뉴\프로그램\시작프로그램" 항목에 추가되는 객체의 정보를 보여줍니다.
④ Tricky Startups은 개인적으로 어떤 의미로 쓰이는 지는 모르겠습니다. 주로 백그라운드로 실행되는
객체들에 대한 정보를 보여줍니다. 서비스 항목과 드라이버 모듈의 로딩과는 다릅니다. 보통 msconfig
에서 시작 프로그램 등을 줄여도 부팅시에 딜레이가 유지된다면 서비스, 드라이버 모듈과 함께 이 영역
에 특정한 객체가 추가된 경우가 많습니다.
⑤ Schedule은 윈도우의 예약 작업에 추가된 객체의 정보를 보여줍니다.
왼편 빨간 박스의 활성화 버튼은 해당 자동 실행의 설정을 삭제하지 않고 비활성화시키는 설정입니다.
아래의 편집(Edit Autoruns)는 아래와 같이 편집창이 활성화되어 설정을 변경시킬 수 있습니다.
윈도우의 서비스 및 드라이버 모듈에 관한 정보를 보여줍니다. Autoruns의 서비스, 드라이버 항목을 동시에 보여준다고 보시면 됩니다. 윈도우 관리 도구에서 서비스 항목을 제어하는 것보다 HijackFree를 통해 더 세부적으로 서비스와 드라이버 모듈을 관리할 수 있습니다.
기본적으로 각 항목별 정보에서 마우스 우클릭으로 위와 같이 모든 관리 기능을 사용할 수 있습니다.
ⓐ Auto : 주로 서비스 항목이 부팅시 자동 실행되도록 할 때 사용됩니다.
ⓑ Manual : 서비스 항목이 부팅시 시작되지는 않지만 특정 어플리케이션 구동시 서비스 항목이 실행될
수 있도록 서비스 항목을 활성화 시켜둡니다.
ⓒ Disabled : 서비스와 드라이버 모듈을 비활성화 시킵니다.
ⓓ Boot : 주로 드라이버 모듈이 부팅시 시스템에 자동으로 로딩되도록 할 때 사용됩니다.
ⓔ System : Manual 항목과 유사하게 시스템 부팅시에는 로딩되지 않고 드라이버 모듈이 특정 어플리케
이션이나 시스템 요청시에만 구동됩니다.
위의 그림에서 볼 수 있듯이 현재 실행되고 있는 항목에 관해서는 실행의 일시정지/정지/재시작 등을
설정할 수 있으며 Service항목의 설치 및 삭제 등도 가능합니다. 단, 서비스 항목의 설치와 삭제는 신중
하게 하시기 바라며, 가급적 삭제보다는 비활성화를 추천합니다.
삭제시 알람창
IE 및 Explorer와 LSP Protocols, Host file, ActiveX(IE의 액티브x가 아닙니다.)의 정보를 보여줍니다.
① Explorer AddOns : IE와 Explorer(윈도 탐색기)의 추가 확장 기능 및 기타 정보를 보여줍니다.
Shell Extension 정보
Shell Hooks 정보
- 이곳에 다른 모듈이 포함된 경우 대부분 악성코드일 확률일 높습니다.
IE 액티브x 정보 - 액티브x 이름은 Rootkey를 참고하시기 바랍니다.
② LSP(Layered Service Provider) 정보를 표시합니다. 악성코드들이 계정 정보를 탈취하는 데에 사용을
많이 합니다. 개인적으로 아는 지식이 얕아 자세한 설명은 생략합니다.
③ Host 파일 정보를 보여줍니다. 보통 사용자가 따로 수정한 상태가 아니면 아래와 같이 유지되어야
합니다.
아래와 같이 HijackFree를 이용해서 호스트 파일의 정보를 수정/추가할 수 있습니다.
④ ActiveX : Autoruns의 explorer의 일부 정보를 제공합니다.
참고로 Autoruns의 Explorer 항목은 Hijackfree의 Explorer Addons의 Shell 정보등도 같이 포함됩니다.
- 이상입니다.
A-squared의 HijackFree 기능에 관하여 알아보도록 하겠습니다.
저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.
저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.
▶ A-squared Anti-Malware 리뷰 모음
- 개요 및 설치 과정, 메인 UI/수동 검사, 실시간 감시(M-IDS)
- 환경 설정, 기타 기능
- HijackFree (1)
- 개요 및 설치 과정, 메인 UI/수동 검사, 실시간 감시(M-IDS)
- 환경 설정, 기타 기능
- HijackFree (1)
9-4. Autoruns
Autoruns 항목은 시스템 시작시 자동 실행되는 객체에 대한 정보를 보여줍니다.
해당 항목에서 보여주는 정보는 아래와 같습니다.
개인적으로 모르는 부분이 상당히 많습니다.
Registry/Startup File/AutoStart Menu/Tricky StartUps/schedule 등 5가지 영역에 걸쳐 시스템 시작시 자동실행되는 객체들의 정보를 보여줍니다. 전에 메뉴에서 Services 메뉴의 정보까지 합치면 시스템이 시작시 구동되는 거의 모든 객체의 정보를 알 수 있습니다.
보통 위의 최상위 항목과 하부 항목을 더블클릭하면 Regedit나 노트패드 등이 열리며 각 항목에 대한 설정을 사용자가 직접 조정할 수 있습니다.
① Registry는 각 계정과 시스템 항목의 시작프로그램 항목과 관계된 정보를 보여줍니다.
하위 폴더로 구성된 Run/RunOnce/RunOnceEx/RunService/RunServiceOnce 등은 모두 시스템 시작시
실행되는 객체들이 설정이 저장되는 레지스트리 영역입니다.
Run : 시스템이 시작할 때마다 영구적으로 계속 실행됨
RunOnce : 시스템 최초 시작시에만 구동. 구동된 후 자체적으로 레지스트리 삭제.
RunOnceEx : RunOnce와 동일하나 주로 프로세스 구동과 연관됨
RunService : WinXP 이후 버전에서는 사용하지 않는 영역, 서비스 항목처럼 백그라운드로 구동
RunServiceOnce : 역시 WinXP 이후에는 사용되지 않음. 최초 실행 후 그 후에는 구동되지 않음
② Startup file은 Win.ini나 System.ini 파일 등에서 구동되는 객체의 정보를 보여줍니다.
③ Autostart Menu는 "C:\Documents and Settings\사용자 계정\시작 메뉴\프로그램\시작프로그램" 항목에 추가되는 객체의 정보를 보여줍니다.
④ Tricky Startups은 개인적으로 어떤 의미로 쓰이는 지는 모르겠습니다. 주로 백그라운드로 실행되는
객체들에 대한 정보를 보여줍니다. 서비스 항목과 드라이버 모듈의 로딩과는 다릅니다. 보통 msconfig
에서 시작 프로그램 등을 줄여도 부팅시에 딜레이가 유지된다면 서비스, 드라이버 모듈과 함께 이 영역
에 특정한 객체가 추가된 경우가 많습니다.
⑤ Schedule은 윈도우의 예약 작업에 추가된 객체의 정보를 보여줍니다.
왼편 빨간 박스의 활성화 버튼은 해당 자동 실행의 설정을 삭제하지 않고 비활성화시키는 설정입니다.
아래의 편집(Edit Autoruns)는 아래와 같이 편집창이 활성화되어 설정을 변경시킬 수 있습니다.
9-5. Services
윈도우의 서비스 및 드라이버 모듈에 관한 정보를 보여줍니다. Autoruns의 서비스, 드라이버 항목을 동시에 보여준다고 보시면 됩니다. 윈도우 관리 도구에서 서비스 항목을 제어하는 것보다 HijackFree를 통해 더 세부적으로 서비스와 드라이버 모듈을 관리할 수 있습니다.
기본적으로 각 항목별 정보에서 마우스 우클릭으로 위와 같이 모든 관리 기능을 사용할 수 있습니다.
ⓐ Auto : 주로 서비스 항목이 부팅시 자동 실행되도록 할 때 사용됩니다.
ⓑ Manual : 서비스 항목이 부팅시 시작되지는 않지만 특정 어플리케이션 구동시 서비스 항목이 실행될
수 있도록 서비스 항목을 활성화 시켜둡니다.
ⓒ Disabled : 서비스와 드라이버 모듈을 비활성화 시킵니다.
ⓓ Boot : 주로 드라이버 모듈이 부팅시 시스템에 자동으로 로딩되도록 할 때 사용됩니다.
ⓔ System : Manual 항목과 유사하게 시스템 부팅시에는 로딩되지 않고 드라이버 모듈이 특정 어플리케
이션이나 시스템 요청시에만 구동됩니다.
위의 그림에서 볼 수 있듯이 현재 실행되고 있는 항목에 관해서는 실행의 일시정지/정지/재시작 등을
설정할 수 있으며 Service항목의 설치 및 삭제 등도 가능합니다. 단, 서비스 항목의 설치와 삭제는 신중
하게 하시기 바라며, 가급적 삭제보다는 비활성화를 추천합니다.
9-6. Others
IE 및 Explorer와 LSP Protocols, Host file, ActiveX(IE의 액티브x가 아닙니다.)의 정보를 보여줍니다.
① Explorer AddOns : IE와 Explorer(윈도 탐색기)의 추가 확장 기능 및 기타 정보를 보여줍니다.
- 이곳에 다른 모듈이 포함된 경우 대부분 악성코드일 확률일 높습니다.
② LSP(Layered Service Provider) 정보를 표시합니다. 악성코드들이 계정 정보를 탈취하는 데에 사용을
많이 합니다. 개인적으로 아는 지식이 얕아 자세한 설명은 생략합니다.
③ Host 파일 정보를 보여줍니다. 보통 사용자가 따로 수정한 상태가 아니면 아래와 같이 유지되어야
합니다.
아래와 같이 HijackFree를 이용해서 호스트 파일의 정보를 수정/추가할 수 있습니다.
④ ActiveX : Autoruns의 explorer의 일부 정보를 제공합니다.
참고로 Autoruns의 Explorer 항목은 Hijackfree의 Explorer Addons의 Shell 정보등도 같이 포함됩니다.
- 이상입니다.
반응형
'▶ 보안 제품 리뷰 > :: Emsisoft' 카테고리의 다른 글
| 무료 악성코드 진단/분석 도구 : Emsisoft Free Emergency Kit 1.0 (6) | 2010.09.18 |
|---|---|
| A-squared Anti-Malware 4.0 리뷰 (7) - 총 평 (8) | 2009.04.15 |
| A-squared Anti-Malware 4.0 리뷰 (6-1) - HijackFree (2) | 2009.04.11 |
| A-squared Anti-Malware 4.0 리뷰 (5) - 기타 기능 (2) | 2009.04.08 |
| A-squared Anti-Malware 4.0 리뷰 (4) - 환경 설정(Configuration) (0) | 2009.04.05 |