국내에서 소개되는 안티바이러스(컴퓨터 백신) 제품들은 자기 보고 기능이 비교적 약하다는 평가를 받고 있습니다.

소개하고자 하는 자료는 외국의 사이트에서 발췌한 것으로 안티바이러스 제품의 자기 보호 기능을 무력화 하는 방법론적인 기술 자료이며 2007년도에 발표되어 현재와는 약간 환경이 다를 수 있습니다.

먼저 실제의 컴퓨터에서 테스트하기에는 너무나 부담이 많으므로, VMWare와 같이 가상화 환경을 준비합니다.

1. 시스템 수준의 자기 보호  테스트 - 훅 갱신, 파일 권한 변경, 레지스트 키 권한 변경

2. 안티바이러스 제품 자체 파일에 대한 보호 테스트 - 안티바이러스 모듈의 파일 수정/삭제, 데이터베이스 파일 삭제

3. 안티바이러스 제품에 등록된 레지스트리에 대한 보호 테스트 - 시작 키, 서비스 키, 환경 설정 키 등 프로그램에서 사용하는 레지스트리 키 수정/삭제

4. 안티바이러스 프로세스 보호 테스트

    - 프로세스 삭제 보호 테스트

       1) 작업 관리자에서 삭제 테스트
       2) 사용자 수준의 API(TerminiateProcess, TerminiateThread, EndTask, EndJob, DebugActive Process, EIP, WinStationTerminateProcess, "bruteforce" message posting, delete after reboot)
       3) 메시지 도움말(WM_CLOSE, WM_QUIT, WM_SYSCOMMAND/SC_CLOSE)
       4) 커널 수준의 API(ZwTerminateProcess, ZwTerminateThread)

    - 프로세스/시스템 코드 수정(CreateRemoteThread-코드 삽입, DLL 삽입, VirtualProcessEx-메모리 보호 속성 변경, 프로세스 메모리 쓰기)

    - 드라이버 롤백

출처: http://whensecuritymatters.com/index.php/Comparative-tests/Antivirus-Self-Protection-Test.html

알림: 본 테스트를 진행하기 위해서는 윈도우 자체에 대한 이해 뿐만 아니라 커널 모드의 프로그래밍의 지식까지 필요로 합니다. 그리고, Process Explorer, HijackThis, HijackFree와 같은 프로그램을 이용하여 일부 기능을 대체할 수도 있습니다.


감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    최근 악성 프로그램들은 안티 바이러스가 상주하여 동작함에도 불구하고 감염을 시도하기 위해 오히려 안티바이러스를 공격하여 무력화하는 경향이 새롭게 대두되고 있습니다.


    어베스트! 안티 바이러스 4.8에서 이러한 위협으로부터 보호하기 위하여 자기 보호 모듈을 추가하고 있으며 이에 대한 정보를 간단히 소개합니다.


    어베스트! 환경 설정문제 해결 탭에서는 자기 보호 기능을 사용할지 여부를 결정합니다. 기본적으로 사용하도록 설정되어 있으며 사용자의 선택에 따라 사용하지 않도록 설정할 수 있습니다.

    자기 보호 기능이 동작하는지 확인하려면 서비스 콘솔을 열고 avast! Antivirus 서비스를 강제로 중지시켜 봅니다.

    avast! Antivirus 서비스는 avast! Web SCanneravast! Mail Scanner 서비스를 종속적으로 운영하고 있어 이 서비스도 함께 중지한다는 경고 창이 나타납니다. 를 클릭합니다.

    아래와 같이 avast! 서비스 종료 대화상자가 나타납니다. 를 클릭하면 서비스가 중지됩니다.

    다음에는 루트킷에 대한 정보를 소개할 예정입니다. 많은 기대 바랍니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory