반응형
출처: http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=52482

임철우님의 컬럼입니다. 전에도 스크랩해서 다른 글을 포스팅한적이 있습니다.

시간을 내서 다시 찾아서 못읽었던 다른 컬럼을 읽고 또 포스팅 합니다.

요즘은 거의다 스크랩해서 올리게 되는거 같군요. 임철우님의 컬럼 시간내서 읽어보시길..

정말 좋은 글들이 많이 있습니다.  가슴에 와닿는 글들도 많고..

 

AP76F8.JPG해마다 이맘때면 시내 한복판에서 쉽게 구세군들을 만날 수가 있다. 그들이 왜 추운 거리에서 자그마한 정성을 모아 불우한 이웃을 돕자고 열심히 종을 치며 사랑의 모금을 하는지 생각해 볼 필요가 있다. 무엇인가 나눌 것이 있다는 것은 참 행복한 것이다. 어쩌면 손해를 본다는 생각이 들겠지만 조금만 다른 시각에서 바라보면 전혀 다른 행복이 보이기 시작할 것이다.

  

개발자라면 꾸준히 새로운 지식을 익힐 필요성을 느끼게 될 것이다. 필자가 처음 개발자로 입문을 했을 당시에는 지금처럼 인터넷이 활성화가 안 되어 있던 시절이었고 개발을 하다 막히는 부분이 있으면 하루고 이틀이고 밤을 새워가며 해결하기 위해 끊임없이 원인을 찾기 위해 노력을 해야만 했다.

 

한번은 문제가 해결될 기미도 안보이고 거의 포기 상태까지 이르렀을 때 같이 일하던 A선배가 비슷한 경험이 있다며 힌트를 주었고, 그로 말미암아 다른 관점에서 접근을 하게 되어 일을 기한에 맞추어 끝냈던 기억이 난다.

 

반면, 당시 실력은 월등히 좋았지만 옆에서 힘들어 하는 걸 뻔히 보면서도 도움을 주지 않았던 B라는 선배도 있었다. 그 이후에도 A선배는 뛰어난 실력은 아니어도 자신이 알고 있는 것을 정리해서 가끔 필자에게 알려 주었고, 덕분에 다양한 개발 팁을 배우게 되는 등 회사 생활을 하는데 많은 도움을 받았다. B선배의 경우는 어려운 일을 혼자서 다 처리했기에 역시 회사 생활을 하는데 도움을 받은 것은 사실이다.

 

하지만 A, B선배와는 서로 다른 회사로 옮기면서 확실하게 차이가 벌어지게 되었다. A선배와는 계속 연락하며 지내지만, B선배와는 연락을 하는 일이 전혀 없어진 것이다. A선배와는 왠지 모르는 인간적인 유대가 생겼고 B선배와는 그저 일 때문에 만난 사람이기에 더 이상 관계가 발전되기 힘들기 때문이다. 직장에서 만난 사람들과 오랫동안 서로 알고 지내는 일은 솔직히 좀처럼 쉽지 않다.

  

실력이 우선시 되는 사회인 것만은 사실이다. 하지만 독불장군처럼 알고 있고 기술을 나눌 줄 모르는 사람이라면 아마도 개발자로서 오랫동안 생활하기에는 어려움이 있을 것이다. 모든 지식을 혼자서 다 익힐 수는 없기 때문이다. 그리고 자기만 알고 있다고 생각하는 신기술 또한 알고 있는 사람이 있기에 자신도 알고 있는 것이고 그렇다면 언젠가는 다른 사람들 또한 알게 될 것이다. 어떤 사람이 그 기술을 공유하려고 할 때 "나도 알고 있는데…" 이런 말을 하게 된다면 한다면 오히려 욕을 먹을지도 모른다.

  

현재 거의 모든 프로젝트는 여러 사람이 톱니바퀴처럼 딱딱 맞아야 비로소 성공적인 프로젝트로 갈 수 있다. 내가 알고 상대가 모른다면 지식을 공유해야 하는 것이 개발자의 예의라고 생각한다. 기술의 공유에 있어서 지위가 높고 낮음은 없으며, 새로운 지식을 습득하게 되면 다른 사람들과의 공유는 필수이며, 알려주려고 하는 사람을 오히려 잘난 척 한다고 생각하는 사람이 있다면 그 사람은 남보다 발전이 늦을 것이며 그 사람은 왜 쉽게 갈 수 있는 길을 어렵게 돌아가려 하는지 생각해봐야 한다. 사전 정보를 가지고 시작하는 것과 모르고 시작하는 것은 천지차이다.

  

신기술이나 팁을 공유함으로써 자신에 돌아오는 것이 무엇인가? 그것은 사람이다. 바로 이것이 나누면 행복해지는 이유이다. 나를 인정해주고 어려움이 닥쳐도 함께 해줄 동료가 한 명이라도 있다면 개발자로서 성공한 거라고 생각한다. 이 글을 통해 내가 지금 힘들 때 정말 나를 도와줄 개발자가 몇이나 되고 연락 가능한 사람이 몇이나 되는지 돌아보는 계기가 되었으면 좋겠다.



반응형
출처: http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=51142

CPU 오버클러킹

 

난이도: 보통

소요시간: 오전 중 10분

 

 

약간의 수고만으로도 시스템의 속도를 10% 이상 증가시킬 수 있다. 대다수의 CPU는 최대 한도보다 낮게 설정된 채로 출고된다. 일부 제품은 종종 속도를 향상시킬 수 있는 방법이 함께 제공되기도 있다.

 

많은 사람들의 우려와 달리 오버클러킹은 PC에 크게 위험하지도 않고 조작하기 어렵지도 않다. 물론 오버클러킹 시 제품 보증서의 효력은 공식적으로 사라지지만 말이다.

 

반면 오버클러킹이 가능한 기성 PC제품들은 흔치 않다. 일단 자신의 PC가 오버클러킹을 지원하는지 확인해 보자. 만약, 여러분의 PC가 오버클러킹을 지원한다면, 수 분 내에 PC의 속도를 개선시킬 수 있다. 참고로 높은 성능 및 안정성을 얻고 싶다면, 오후 시간대는 피하여 테스트해 보는 것이 좋다.

 

오버클러킹을 하기 위해서는 우선 정보를 모아야 한다. 마더보드의 모델을 확인하고, 해당 모델의 매뉴얼을 다운로드 받은 다음 BIOS를 최신 버전으로 업데이트시킨다. 마더보드 제조사가 윈도우용 오버클러킹 유틸리티들을 제공하는 경우도 있지만 가급적 BIOS 내에서 직접 설정내역을 변경하는 것을 권장한다. 이 경우 설정을 재변경하기 전까지 설정내역이 유지된다.

 

다음으로는 BIOS에 액세스 하는 방법 및 업그레이드가 불안정할 경우(애플리케이션이 충돌하거나 시스템이 다운되는 현상 등)를 대비해 이를 디폴트 구성으로 재설정할 수 있는 방법을 파악해야 한다. PC가 부팅되지 않은 경우 재설정을 하기 위해서는 물리적으로 점퍼 스위치를 변경시키거나 마더보드의 버튼을 눌러야만 하는 경우가 있는데, 이를 알아두어야 한다는 이야기다. 그렇지 않으면, 문제 발생시 BIOS 화면으로 돌아가는 길을 찾지 못해 컴퓨터가 잠겨 버리게 된다.

 

아울러, 온라인으로 CPU의 모델을 파악하고 (BIOS에서 이와 관련된 일부 정보들을 찾을 수 있다) 해당 모델이 지원하는 온도를 확인하도록 한다. 오버클러킹이 성공적으로 이루어지기 위해서는 성능과 열을 절충하여 선택해야만 한다. CPU가 너무 뜨거워지면 PC가 충돌을 일으키게 된다. 오버클러킹을 진행하면서 BIOS에서 온도를 체크하도록 한다.

 

때때로 BIOS는 ‘Al’ 모드, 자동 모드를 통해 CPU를 성공적으로 오버클러킹시킬 수도 있다. ‘Al’ 모드를 선택할 수 있다면, 오버클러킹은 한마디로 식은죽 먹기다. 그러나, 대부분의 경우는 버스(FSB) 스피드의 설정을 변경하여 CPU의 속도를 향상시키게 된다. BIOS 내에서 FSB 스피드를 5-MHz나 10-MHz정도 올리고, 변화를 저장한 뒤, 재부팅하는 방식이다.

 

만약 PC가 성공적으로 부팅되지 않는다면, 즉, 윈도우 화면이 나타나지 않는다면, BIOS 화면으로 돌아가 FSB 스피드를 기존의 설정대로 복귀시켜야 한다. 복귀 후 부팅이 성공적으로 이루어진다면, 다시 한 번 FSB 스피드를 조금씩 증가시킨 다음 약 30분간의 Prime95 테스트를 통해 CPU가 제대로 작동하는 지를 확인하도록 한다.

 

Prime95는 오버클럭된 CPU에 부하를 주어 안정적으로 작동하는 지를 확인하는 테스트다. Prime95 테스트에서 시스템이 안정적으로 작동한다면, FSB 스피드를 천천히 조금씩 증가시키는 것을 계속하도록 한다.

 

이 과정 중 성능상의 문제나 충돌이 발견된다면, 혹은 CPU가 너무 뜨거워 진다면, FSB 스피드를 줄여 안정적인 수준을 찾아야 한다. 온도를 낮게 유지하기 위해 CPU의 히트 싱크를 업그레이드하는 것도 좋다. ; 더욱 튼튼한 히트 싱크는 FSB 스피드를 조금 더 올려줄 수 있다.

 

그래픽카드 오버클러킹

 

난이도: 쉬움

소요시간: 60분

 

 

ATI와 엔비디아는 모두 일부 고성능 비디오 카드에 한해 무료 오버클러킹 툴을 제공하고 있다. 이 방법은 BIOS의 설정을 변경하지 않고도 시스템의 그래픽 성능을 향상시켜 준다. 속도가 빨라짐에 따라 게이머들은 더욱 부드러운 비디오 영상을 즐길 수 있을 것이다. 시작하기에 앞서 그래픽 보드의 드라이버를 업그레이드 정도는 해두자.

 

엔비디아의 컨트롤 패널(Control Panel)에서 퍼포먼스(Performance)로 들어가 디바이스(Device) 설정을 클릭한다. GPU를 클릭하고, 커스텀(Custom)을 선택한 뒤, 안정성을 확인해 가면서 슬라이더를 이동시켜 클럭 스피드를 증가시키도록 한다.

 

ATI 카드를 사용하고 있다면, 카탈스트 컨트롤 패널(Catalyst Control Panet)을 열고 오버드라이드(Overdrive)로 들어가 자동조정(Auto-Tune)을 클릭한다. 이 방법은 점진적으로 클럭 스피드를 증가시키면서 연달아서 각 스피드를 테스트한다. 불안정성이 발견되면, 클럭 스피드를 감소시켜 기존 수준으로 복귀시킨다.

 

에너지 절감을 위한 PC 다운클러킹

 

난이도: 쉬움

소요시간: 20분

 

많은 사람들이 무료로 시스템의 속도를 향상시키기를 원하지만, 에너지 절감과 열 차단을 중시하는 사용자라면 하드웨어를 다운클러킹 시키는 것이 더 나은 선택일 수도 있다. 물론, 다운클러킹에 따른 에너지 절감폭은 그리 기대할 만한 수준이 아니지만 말이다.

 

조용한 시스템이 요구되는 홈시어터PC에서도 다운클러킹을 고려해 볼 수 있다. 온도를 낮춰주면서 쿨링팬이 돌아가는 소리가 조용해지기 때문이다.

 

시스템을 다운클러킹시키기 위해서는, 이전 페이지에 위에서 언급한 오버클러킹 조언들을 따르되 CPU의 속도를 증가시키는 것이 아니라 감소시키면 된다. 또 윈도우의 전원 옵션(Power Options) 컨트롤 패널에 들어가 상세 설정을 변경하도록 한다.

 

프로세서 전원관리(Processor power management)를 클릭하고 최저 속도와 최고 속도를 변경해라. 필요시 CPU의 속도를 증가시킬 수 있도록 최저 속도를 5%, 최고 속도를 100%로 설정한다. 만약 이메일 등 기본적인 업무를 위해서만 PC를 사용한다면 최고 속도를 좀 더 낮게 설정하면 된다.

 

안테나 추가로 무선랜 범위 확대

 

난이도: 쉬움

소요시간: 45분

 

 

간단하고 수동적인 파라볼라 반사기(Parabolic Reflector)를 무선 안테나 주변에 설치함으로써 신호를 정확히 원하는 지점에 집중시킬 수 있다. 파라볼릭 반사기는 네트워크의 범위를 넓혀줄 뿐만 아니라 네트워크의 보안까지도 개선시켜줄 수 있다.

 

적합한 안테나 모양을 찾으려면 파라볼라 계산기를 다운로드하는 것이 좋다. 라우터의 안테나가 물리적으로 수용할 수 있는 최대 규모의 반사기의 직경 및 깊이를 입력해라. 파라볼라 계산기는 모눈 종이에 설계도를 그릴 수 있도록 수치표를 산출해 줄 것이다. 두 장의 마분지에서 파라볼라 모양을 잘라낸 다음, 부드러운 금속 조각을 잘라 반사기로 사용하도록 한다. 금속조각을 U자형으로 구부려 유도장치를 둘러싸도록 한 다음 본드로 붙여 고정시킨다. 마지막으로 유도장치의 초점 부분에 작은 구멍을 내고 반사기를 설치한다.

 

무선 라우터에 고급 기능 추가

 

난이도: 보통

소요시간: 45분

 

 

사용하다 보면 무선 네트워크를 확장해야 할 필요성을 느낄 수도 있다. 그러나, 그렇다고 해서 반드시 새로운 네트워킹 하드웨어를 구입할 필요는 없다. 써드파티의 펌웨어를 사용해 기존의 무선 라우터에 새로운 기능을 더함으로써 네트워크의 확장이 가능하다.

 

이 경우, 라우터의 성능을 새 장비를 구입하는 것과 대등하게, 혹은 (많은 경우) 그 이상으로 개선시킬 수 있다. 이 해킹 방법을 통해 사용자들은 안테나의 파워를 증가시키고, 리피터가 더욱 넓은 Wi-Fi 범위를 지원할 수 있다. 또 무선 네트워크의 보안을 개선시키며, Wi-Fi 트래픽을 유선 네트워크에서 분리시키고, VPN을 설치하는 등 많은 긍정적 효과들을 기대할 수 있다.

 

X-Wrt 펌웨어는 아수스, 버팔로, 링크시스를 포함한 많은 라우터를 지원한다. 웹사이트를 방문해 X-Wrt 펌웨어가 각자의 라우터를 지원하는 지 확인하도록 한다. (만약, 라우터가 지원 가능한 라우터 목록에 포함되지 않는다면, 온라인에서 해당 라우터 모델에 대한 펌웨어를 검색해 보자. 여러분의 라우터를 지원하는 유사한 펌웨어가 있을지도 모르기 때문이다.)

 

이더넷 케이블을 사용하여 라우터를 PC에 직접 연결시킨 다음 라우터의 구성 페이지에서 로그인한다. 시스템 설정 메뉴를 열고 펌웨어 옵션을 살펴본다. 버튼을 클릭해 새로운 펌웨어 파일을 선택한 다음, 이를 라우터로 업로드시킨다. 업데이트가 종료되기 전까지는 라우터와 PC를 분리해서는 안 된다. 그렇지 않으면, 하드웨어가 영구적으로 손상될 위험이 있다. 이 과정에는 최대 15분의 시간이 소요된다.

 

업데이트가 종료되고 라우터가 재시작하면, 브라우저를 사용하여 무선 네트워크를 다시 연결한다. 곧 디폴트 화면 대신 X-Wrt 인터페이스가 나타나면서 사용자로 하여금 신규 패스워드를 설정하도록 한다. 이제 무선 인터넷을 재연결할 수 있다. 그러나, 이는 이더넷을 통한 대부분의 관리업무들을 수행하는 데 있어서는 최고의 방법이다.

 

펌웨어 업데이트 메뉴에서 네트워크(Network)로 들어가 무선 설정(Advanced Wireless Settings), 그리고 전력 송신(Transmit Power)을 클릭한 후 송신 전력을 변경해라. 무선 네트워크의 지원 범위를 확대해야 할 경우에는 수치를 높이고, 네트워크가 이웃집까지 흘러가는 것을 막고 싶다면 수치를 낮추면 된다.

 

네트워크 탭 내에 있는 QoS를 이용하여 특정 P2P 프로그램들의 우선 순위를 낮춰 긴급한 업무가 발생할 시 항상 가능한 모든 대역폭을 사용할 수 있도록 디폴트 서비스 품질을 설정하는 것도 가능하다.

 

그래프(Graph) 탭으로 들어가면 사용 대역폭 및 기타 정보들의 실시간 차트를 볼 수 있다. 각 페이지마다 오른쪽 하단에 있는 저장(Save Changes) 버튼을 눌러 변경 내역을 저장하고, 업데이트를 할 준비가 되었다면 적용(Apply Changes) 버튼을 누르는 것을 잊지 마라. 만약, 기본 펌웨어로 복귀하고 싶다면, 라우터 제조사의 웹사이트에서 이를 다운로드한 뒤 시스템에 업로드시키고 페이지를 업그레이드(Upgrade) 하면 된다.

반응형
출처: http://www.hauri.co.kr/customer/security/colum_view.html?intSeq=89&page=1&keyfield=&key=

악성코드 짜잉나는 놈 내 손으로 제거해 주마!!! ㅎㅎ

악성코드 관련 컬럼이 있어 퍼왔습니다. 눈에 익은 툴들이 몇개 보이네요....ㅎ

 

1. 악성코드의 형태


악성코드는 대부분 스스로 실행 가능한 .exe 형태이거나, 다른 프로세스에 인젝션 되어 실행되는 .dll형태로 존재한다. 이번 칼럼에서는 간단하게 .exe형태의 악성코드를 제거해보도록 하겠다. 왜냐하면 .exe형태의 프로세스가 .dll형태의 악성코드보다 인지하는게 수월하기 때문이다.


2. 유용한 확인/제거 툴


ㄱ. Process Explorer 작업관리자로도 .exe형태의 파일을 볼 수는 있지만, 프로세스명만 나오기 때문에 많이 부족하다.이를 보완해줄수 있는 툴이 Process Explorer이다. 이 툴은 간단하게는 이미지(파일) 경로와 프로세스명, User Name등을 알 수 있으며, 프로세스의 실행, 일시정지, 재실행, 종료등 여러가지 기능을 가지고 있다.


ㄴ. Autoruns 레지스트리를 확인할 수 있는 툴로 부팅시 자동실행되는 파일이나 서비스를 보여준다. 이것을 이용해서 재부팅시 실행되는 악성코드도 확인 할 수 있다.


ㄷ. IceSword / Gmer 루트킷 탐지와 숨겨진 프로세스, 파일 등을 종료시키거나 제거할 때 사용한다.


ㄹ. File Monitor / Registry Monitor 파일이나 레지스트리의 IO를 사람의 눈으로 확인하기가 힘들기 때문에, IO에 대한 로그를 보고IO를 확인하는데 사용한다.


ㅁ. taskkill 하나 이상의 프로세스를 종료하는데 사용하며 여러가지 조건을 줄 수 있다.


3. 악성코드에 감염된 PC를 찾아라


악성코드를 제거하기 위해서는 감염된 PC가 필요한데 실PC가 감염되면 좋을게 하나도 없다. 이럴때 필요한 것이 가상머신인데 VmWare, VirtualPC, VirtualBox등 여러가지가 있다. 자신에게 맞는 가상머신을 설치하고 OS도 설치하여 필요한 툴도 넣고, 마지막으로 스냅샷 등의 복원지점도 설정해놓아야 편안하게 감염 테스트를 할 수 있다.


ㄱ. 필자는 VirtualBox를 이용해 보았으며 툴도 넣어두었고, 복원지점을 위해 스냅샷도 찍어 두었다. 숨길건 없지만, 안개효과를 내주는 Blur 필터를 추가하니 이미지가 멋있어졌다.



 

ㄴ. 가상머신에 공유폴더를 이용하여 악성코드와 툴을 넣고 File Monitor를 실행해두고, 악성코드인 TEST_MAL.vir.exe를 실행시켰다. 악성코드가 C:\lsass.exe를 생성시키는 것을 알수 있었다.


(설정변경 : 메뉴의 Help밑에 보이는 깔때기 아이콘 실행 -> Highlite에 Write;Delete 추가)



ㄷ. 이제 악성코드는 TEST_MAL.vir.exe와 C:\lsass.exe 두 마리다.


실행중인 악성코드를 보기위해 Process Explorer을 실행시켜 악성코드를 지켜보니 처음에 실행한 악성코드 TEST_MAL.vir.exe와 계속해서 실행/종료를 반복하고 있는 C:\lsass.exe를 확인할 수 있다.


(빨간색 줄은 종료되는 프로세스를, 녹색줄은 이제 막 실행되고 있는 프로세스를, 보라색은 압축되어 있는 프로세스를 나타낸다.)



 

4. 악성코드 제거하기


이제 감염된 PC가 생겼으니 제거해보자. 원래 쉬운것부터 해나가야 실력이 늘것이고, 주유소 습격사건의 유오성처럼 한 놈만 잡으면 다른것도 응용해서 할 수 있을꺼라 생각한다. 대부분의 악성코드를 직접 감염시켜보는게 아니기 때문에 어떤 프로세스를 종료시켜야 할 지 난감할 것이다. 이 많은 프로세스중에 어떤게 악성코드일까?


ㄱ. 악성코드 의심 대상을 좁혀라.


(Services로 실행되는 악성코드는 예외) Process Explorer가 트리구조로 보여주는 것을 감안하여 Shell로 동작하는 explorer.exe의 자식노드(우측으로 치우친)로 보여지거나, (모니터를 기준으로) explorer.exe의 아래쪽에 존재하는 프로세스들을 자세히 들여다 보자. 이는 우리가 PC에 로그인하여 실행하는 프로그램들은 쉘에서 실행되기 때문이며, 예외적으로 쉘에서 실행된 것중 자식프로세스를 생성하고 죽을경우 Process Explorer는 해당 자식 프로세스를 쉘과 동등한 레벨로 보여주기 때문이다.


(이것은 마치 SI로 추정되는 사람을 특정국가에서 귀국한 사람들로 범위를 좁혀가는 것과 같은 것이다. 하지만 사람은 악성코드가 아니다.)


ㄴ. 하나씩 제외시키면 악성코드가 보인다. 평소에 자신이 많이 보았거나 확실하게 아는 프로세스를 제외해보면 몇 개 안남을 것이다. 지금 같은 경우는 TEST_MAL.vir.exe와 실행/종료를 반복하는 lsass.exe만 눈에 띄게 이상하다. ㄷ. 의심되는 프로세스를 찾았다. 정말 악성코드일까?


- 백신업체에 해당 파일을 압축암호와 함께 압축하여 신고


=> 악성코드의 신고접수는 자신뿐 아니라 많은 백신 이용자들이 PC를 쾌적하고 안전하게 사용할 수 있게 해준다. 많은분들이 계속해서 신고해준다면 더 좋아지지 않을까?


- 각 백신업체의 홈페이지에서 무료로 검사해 볼 수 있다.


- 여러 백신업체의 스캐너로 악성코드를 무료로 검사해준다.


=> http://www.virustotal.com/ko


=> http://virscan.org


ㄹ. 확신이 섰다면 악성코드를 종료하자. 실행중인 악성코드를 종료하기 위해 Process Explorer에서 해당 악성코드를 선택하여 마우스 우측버튼을 누르면 나오는 메뉴중 [Kill Process] 를 선택하면 해당 프로세스가 종료되고, [Kill Process Tree]를 선택하면 해당 프로세스 및 해당 프로세스의 자식 프로세스까지 같이 종료된다. - TEST_MAL.vir.exe, lsass.exe -> 마우스 우측버튼 -> Kill Process/Kill Process Tree



 

ㅁ. 어라.. 아직 남았네.


Process Explorer로 TEST_MAL.vir.exe는 종료되었지만, 실행/종료를 반복중인 lsass.exe는 끄떡도 안한다. 일반적인 바이러스의 경우 Process Explorer, IceSword, Gmer, 추가적으로 Autoruns면 끝을 보는데 실행/종료를 반복하는 악성코드의 경우는 이것들로 해결이 되지 않을 수 있다.


[시도-1] IceSword로 Process를 종료해보자.


(생성/종료를 반복하기 때문에 안보일때도 있음) 왼쪽메뉴 Function/Registry/File중 Function을 선택한 뒤 Process를 선택하면 실행중인 프로세스의 PathName과 ImageName를 확인할 수 있다. 마우스 우측버튼으로 선택해서 Terminate Process를 누르면 종료해보자. 종료된 것 처럼 보였지만, 여전히 프로세스 생성/종료를 반복하고 있다. 실패!!



[시도-2] 실패했다. 그러면 IceSword로 파일을 지워보자.


왼쪽메뉴 Function/Registry/File중 File을 선택하여 C드라이브를 선택하면 lsass.exe가 보이므로 해당 악성코드를 선택하여 [Delete]/[force delete]해보자. 지워진것 처럼 보이지만 Process Explorer에서는 여전히 실행/종료를 반복하고 있다. 실패!!



[시도-3] Gmer로 프로세스를 종료해보자.


(생성/종료를 반복하기 때문에 선택안됨) Gmer를 실행시키고 맨위의 메뉴 [Rootkit/Malware]/[>>>>]중 >>>>를 선택하면 아래와 같은 메뉴가 나온다. 그중 첫번째에 있는 Process를 선택하여 [Kill Process]하려 하였으나 선택이 안된다. 실패!!



[시도-4] Gmer로 파일을 파일을 지워보자.


메뉴중 [File]를 선택하여 C드라이브에 존재하는 lsass.exe를 선택하여 [Delete]를 누르면 제거되지만 다른 폴더를 억세스후 다시 확인해보면 그대로다. 실패!! [File]메뉴에도 [Kill]이 존재하여 종료해보니 성공 반!! 실패 반!! 이었다.



ㅂ. 왜 안되는지 문제점을 파악하자.


Process Explorer, IceSword의 문제는 실행/종료가 반복되는 해당 프로세스에 대한 종료를 하려 하면 이미 해당 프로세스의 ID(=PID)는 이미 사라지고 다른 PID가 생성되면서 딜레이가 발생해서 인것으로 추정되었다. 즉 툴이 보여주는 프로세스와 현재 실행중인 프로세스에 차이가 발생해서 종료가 불가능 했던 것이며, Gmer의 경우 성공 반!! / 실패 반!! 이 가능했던 이유는 변하지 않는 않는 파일쪽에서 [Kill]명령을 내려서 인것으로 추정되었다. 한 두번 하면 성공!!


ㅅ. 위의 방법만으로만 해결이 가능한 것일까? 좀더 쉬운 방법은 없을까?


여러가지 조건을 걸어줄 수 있는 Taskkill이 가능 했었다. 아래의 Process Explorer을 보면 정상 lsass.exe와 악성 lsass.exe의 차이를 찾아서 조건부 Kill을 하면 되는 것이었다. Process Explorer의 숨겨진 컬럼을 추가하여 보자.


a. View -> Select Columns선택



b. Process Image에서 User Name, command Line를 체크해준다.



c. 아래의 컬럼이 추가된 Process Explorer을 보면 User Name이 다른 것을 알수 있다.

Taskkill을 이용하여 종료시켜보자. 프로세스가 종료되는 순간이 있기 때문에 프로세스를 찾지 못하는 경우도 있으니, 한두번 더 해주면 성공할 것이다.

<<사용된 명령어>> Taskkill /f /fi “username eq pcname” /im lsass.exe




휴.. 해결되었다.. 처음엔 쉬운걸 선택한줄 알았는데, 의외로 까다로운 악성코드였다. 이번 악성코드는 좀 방황했지만, 대부분 Process Explorer에서 프로세스를 종료하고 IceSword나 Gmer로 파일을 지우면 대부분 해결된다. 이제 악성코드라고 멀리하지 말고 가끔은 자신의 힘으로 악성코드를 제거해보는건 어떨까 한다. 물론 가끔이다.


(주)하우리 기술연구소 바이러스팀 연구원 이새별


+ Recent posts

티스토리툴바