'루트킷 디텍티브'에 해당되는 글 1건

  1. 2007.07.26 맥아피, 루트킷 디텍티브 무료 공개
보안 벤더로 유명한 맥아피(www.McAfee.com)에서 루트킷을 진단 치료할 수 있는 루트킷 디텍티브 1.0(Rootkit Detective 1.0)을 무료로 공개합니다.

다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

주요 특징은 다음과 같습니다.
  • 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
  • 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
  • SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
  • 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
  • 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
  • 사용자는 샘플을 관련 사이트에 접수할 수 있다.

사용할 수 있는 운영체제는 다음과 같습니다.

  • WIndows XP 홈 SP2
  • Windows XP 프로 SP2
  • Windows 2000 SP4
  • Windows 2000 서버
  • Windows 2003 서버 SP1

다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.

아래 화면은 루트킷 디텍티브를 실행한 것입니다.

사용자 삽입 이미지

아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.
사용자 삽입 이미지


그리고, 다음 사항을 주의해야 합니다.

  • McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
  • McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
  • Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
  • Zone Alarm의 vsdatant.sys를 진단합니다.
  • Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
  • F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
  • Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
  • McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
  • McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
  • VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
  • 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
  • IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.

감사합니다.

PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.


 


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory