'루트킷 탐지'에 해당되는 글 2건

  1. 2011.02.04 aswMBR, 어베스트! 루트킷 스캐너 소개 (1)
  2. 2010.06.19 바이러스토탈, 어베스트! V4와 V5의 차이점!
컴퓨터에 감염되는 악성코드는 보통, 바이러스, 트로이목마, 웜, 스파이웨어 등으로 나눌 수 있다. 하지만, 루트킷은 위험한 악성코드임에도 불구하고 그 특성상 잘 탐지되지 않는 경우가 많다.

바이러스와 같은 유형은 우리가 널리 사용하는 프로그램과 동일한 형태이기 때문에 탐지 및 치료(삭제)가 용이한 편이다. 루트킷은 커널 레벨에서 여러가지 조작을 통해 자신을 숨기기 때문에 찾아내기가 어렵다.

이러한 루트킷을 탐지하기 위해서 다양한 루트킷 스캐너가 제공되고 있으며, 지금 소개할 자료는 무료 백신으로 유명한 어베스트!에서 제공하는 aswMBR이다.

aswMBR은 TLD3, TLD4, MBRoot(Sinowal) 루트킷을 탐지하여 치료할 수 있는 명령행 프로그램이며, 아래 링크에서 다운로드할 수 있다.


프로그램을 실행하고 Scan 버튼을 누르면 검사가 진행되고, 만약 루트킷이 발견되는 경우에는 Fix 버튼을 클릭한다.



참고로, 어베스트!에서 제공되는 루트킷 탐지 기술은 독일 보안 기업인 GMER의 기술을 채택하고 있다.

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    바이러스토탈(http://www.virustotal.com)은 파일(또는 URL)에 악성 프로그램이 포함되어 있는지 진단해 주는 사이트로, 다양한 안티바이러스 엔진에서 순차적으로 검사를 진행합니다.

    따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.

    바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.

    • Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
    • Win32:SuspBehav - 의심스러운 행동을 하는 파일

    어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.

    Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.

    감사합니다.

     






    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory