요즘 루트킷이 점차 세력을 뻗치고 있습니다. 안티 바이러스 백신은 한 두개만 있어도 충분히 커버가 되지만, 루트킷의 경우 적어도 3-4가지 이상은 사용해야만 안전을 보장 받을수 있습니다.

아래 표는 제가 사용하는 루트킷을 총정리해 둔 것입니다. 물론, 이 이외에도 안티루트킷이 있기는 하지만 회사의 지명도나 기술력을 감안하여 정리해 놓은 것입니다.

날짜와 버전은 틀릴 수 있으며 링크는 제품 링크와 다운로드 링크를 구분했습니다.

유용하게 사용하시기 바랍니다.


Anti-RootKit 프로그램 정리

프 로 그 램

   

버전

링크

AVG

Anti-Rootkit

2007-04-13

V1.1.0.42

http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-rootkit-free

http://free.grisoft.com/softw/70free/setup/avgarkt-setup-1.1.0.42.exe

BitDefender

RootkitUncover

2007-04-13

V1.0 Beta 2

http://beta.bitdefender.com/showmain.php

http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_isecurity_v10-RC1.exe

http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe

F-Secure

BlackLight

2007-04-13

V2.2.1061

http://www.f-secure.com/blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe

HiJack This

2007-04-13

V1.99.1

http://www.tomcoyote.org/hijackthis/

http://tomcoyote.org/hjt/hjt199//hijackthis.zip?

Lavasoft

ARIES Rootkit Remover

 

 

 

http://www.majorgeeks.com/Lavasoft_ARIES_Rootkit_Remover_d4912.html

Rootkit Hook Analyzer

 

V2

http://www.resplendence.com/hookanalyzer

http://www.softpedia.com/get/Security/Security-Related/RootKit-Hook-Analyzer.shtml

Rootkit Revealer

 

V1.71

http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

http://download.sysinternals.com/Files/RootkitRevealer.zip

Sophos

Anti-Rootkit

 

V1.2

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

http://www.sophos.com/products/free-tools/sophos-anti-rootkit/eula

http://www.sophos.com/support/cleaners/sarsfx.exe

Panda Anti-Rootit

 

 

http://www.pandasoftware.com/products/antirootkit/

http://acs.pandasoftware.com/marketing/promo/en/antirootkit.exe

McAfee

Rootkit Detective

 

V1.0

http://vil.nai.com/vil/stinger/rkstinger.aspx

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    보안 벤더로 유명한 맥아피(www.McAfee.com)에서 루트킷을 진단 치료할 수 있는 루트킷 디텍티브 1.0(Rootkit Detective 1.0)을 무료로 공개합니다.

    다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

    주요 특징은 다음과 같습니다.
    • 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
    • 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
    • SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
    • 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
    • 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
    • 사용자는 샘플을 관련 사이트에 접수할 수 있다.

    사용할 수 있는 운영체제는 다음과 같습니다.

    • WIndows XP 홈 SP2
    • Windows XP 프로 SP2
    • Windows 2000 SP4
    • Windows 2000 서버
    • Windows 2003 서버 SP1

    다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.

    아래 화면은 루트킷 디텍티브를 실행한 것입니다.

    사용자 삽입 이미지

    아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.
    사용자 삽입 이미지


    그리고, 다음 사항을 주의해야 합니다.

    • McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
    • McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
    • Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
    • Zone Alarm의 vsdatant.sys를 진단합니다.
    • Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
    • F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
    • Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
    • McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
    • McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
    • VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
    • 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
    • IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.

    감사합니다.

    PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.


     


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory