출처: http://wooica.tistory.com/3

Autoruns란? sysinternals이라는 제작사에서 만든 프리웨어로 컴퓨터 내에서 자동으로 실행되게 설정되어있는 모든 시작프로그램을 보여주는 툴입니다.

프로그램의 다운로드는 제작사 사이트인 http://www.sysinternals.com/ 에서 다운로드가 가능합니다. 주의할 점은 Autoruns 프로그램은 시스템에 영향을 미치므로 사용 시 주의가 필요하며, 아울러 Autoruns 관련 파일을 함부로 삭제하지 않도록 해야 합니다.

Autoruns의 각종 기능

1. autoruns.exe 파일을 실행시키면 다음과 같은 좁은 화면이 표시됩니다.

와이드모니터나 최대화를 통해서 넓게 볼 수도 있습니다.
 

각 항목별로 의미하는 내용을 알아보겠습니다.

- Autorun Entry : 시작프로그램으로 등록된 항목을 표시합니다.

- Description : 어떠한 종류의 시작프로그램인지를 표시합니다.

- Publisher : 프로그램의 공급자를 표시합니다.

- Image Path : 프로그램의 드라이브 내 경로를 표시합니다.
 

2. 처음 설정된 화면은 모든 항목을 표시하게 되어있습니다. 중요한 운영체제의 항목도 표시가 되게 되어 있는데, 이것은 설정에서 변경이 가능합니다.

[Option]을 선택 -> [Hide Microsoft Entries]를 체크 -> F5나 [File]에서 [Refresh]를 선택
 

다음과 같이 중요 운영체제의 항목이 사라진 걸 확인 할 수 있습니다. 이 기능은 중요 운영체제를 숨김으로써 실수를 미연에 방지할 수 있으나, 운영체제로 위장한 악성코드를 찾아내는 데에는 용이하지 못하므로 악성코드 탐색을 목적으로 하신다면 안 하실 것을 권장 드립니다.
 

3. 이번에는 Autoruns에서 제공하는 Verify(verify digital signatures) 검증기능에 대해 소개해드리겠습니다.

sysinternals는 마이크로소프트웨어 내에 속해있는 제작사로 마이크로소프트웨어사가 제공하는 소프트웨어가 맞는지 검증해주는 기능을 가지고 있습니다.

- 실행 전 기존 화면
 

[Option]선택 -> [Verify Code Signature]항목체크 -> F5나 [File]에서 [Refresh]를 선택

- 실행 후 기존 화면과는 다르게 다음과 같이 화면이 변경된 것을 확인 할 수 있습니다.

기존 Publisher항목에서는 없었던 Verified가 공급자 앞에 붙은 것이 확인이 가능합니다.

여기서 Verified는 마이크로소프트웨어사가 제공하는 소프트웨어란 것인 검증된 것으로 정상적인 프로그램을 말합니다.

반면에 Not Verified나 아예 Publisher항목에 표시가 안 되는 경우는 악성프로그램이나 비정상적인 프로그램으로 의심할 수 있습니다. 하지만 간혹 정상적인 프로그램도 Not Verified 표시되는 경우가 있으므로 주의가 필요합니다.

4. 다음은 [Entry]메뉴에 각 항목에 대해 설명하겠습니다.

-Delete : 선택한 프로그램을 시작프로그램에서 삭제합니다. 삭제된 항목은 윈도우 부팅 시 자동으로 시작이 안 되게 됩니다. 화면을 통해 삭제된 것을 확인 할 수 있습니다.
 

-Copy : 선택한 프로그램의 이름, 프로그램 종류, 제공자, 시스템경로를 복사합니다.
 

-Verify : 선택한 프로그램의 Verify(검증)을 실행합니다.

-Jump to : 선택한 프로그램의 레지스트리 편집기의 해당 항목으로 이동됩니다. 레지스트리를 수정 또는 삭제할 경우에는, 반드시 미리 백업을 해둔 상태에서 진행하기 바랍니다. 레지스트리를 잘못 건드릴 시 시스템에 심각한 문제가 발생 할 수도 있습니다. 레지스트리 백업 방법은 윈도우의 [시작] -> [실행] -> regedit를 입력한 후, 파일 메뉴에서 내보내기(*.reg)를 하면 됩니다. 단, 악성코드로 판명된 레지스트리의 경우 완전 삭제하시기 바랍니다.

-Search Online : 선택한 프로그램에 대해 인터넷에서 검색합니다. 마이크로소프트웨어사의 프로그램이므로 자동으로 msn으로 검색합니다.

-Process Explorer : 선택한 프로그램을 Process Explorer프로그램과 연동하여 실행합니다.

Process Explorer는 같은 제작사에서 만든 프로그램으로 시스템상의 실행되고 있는 프로세스를 보여주는 프로그램으로 연동하여 사용하고자 할 경우. 프로그램을 미리 실행시켜 놓거나 autoruns가 들어있는 동일 경로에 Process Explorer를 놓고 사용하면 됩니다.

-Properties : 선택한 프로그램의 등록정보를 보여줍니다.

4-1. 시작프로그램을 삭제하지 않고 구동을 원치 않는 개체의 체크박스를 해제해주면 간단하게 윈도우 시작 시 구동이 안 되게 할 수 있습니다. 그림과 같이 체크박스를 해제하면 간단하게 시작프로그램에서 제외할 수 있습니다. 이외에도 웹 브라우저 툴바나 윈도우 탐색기에서 마우스 오른쪽 버튼 메뉴(Context Menu)를 체크박스 해제만으로 가볍게 제어가 가능합니다.

5. Auturuns 프로그램을 활용하여 바이러스 등의 유해 요소 파악이 가능 합니다.

악성프로그램의 경우 기본적으로 시작 프로그램에 등록할 가능성이 높기 때문에 Logon, Service 항목을 파악해 보도록 합니다. Description과 Publisher 부분이 누락되어 있다면 우선 의심해 봐야 합니다. 그러나 정상 프로그램도 누락하는 경우가 있으므로 주의가 필요합니다. 그리고 경로가 정상적인 것인지도 파악해 봅니다. 악성프로그램의 경우 시스템 폴더나 설치 폴더 등에 위장할 가능성이 높습니다.

5-1. 툴바의 경우 Internet Explorer 웹 브라우저를 숙주로 삼는 경우가 대부분이므로 이 항목을 조사해보도록 합니다.

5-2. Winsock Providers, Drivers, Printer Monitor 등도 악용할 수 있으므로 확인이 필요합니다. 다만 초보자들의 경우 쉽게 파악하기 힘들 수도 있습니다.

5-3. 만약 악성코드를 분석하는 입장이라면 악성코드를 실행하기 전에 [File] -> [Export]를 통하여 시스템 로그를 저장한 뒤, 악성코드 실행 후 로그와 비교·분석을 하는 것이 좋습니다.

6. Autoruns 프로그램의 활용에 대해 알아보았습니다. 기타 추가적인 내용은 Help(도움말)을 통해 확인하거나 포럼에서 정보를 얻을 수 있을 것입니다.

http://forum.sysinternals.com/forum_topics.asp?FID=16

출처: http://wooica.tistory.com/2

FileMon 이 Process Monitor에 포함되었다고 함.

Process Monitor v3.03

By Mark Russinovich and Bryce Cogswell

Published: July 16, 2012

Download Process Monitor
(1077 KB)

Introduction

출처: http://wooica.tistory.com/4

Filemon이란? sysinternals이라는 제작사에서 만든 프리웨어로 리얼타임으로 시스템에 있는 파일 시스템 활동, 프로그램의 생성, 삭제, 이동 등의 모든 이벤트를 모니터링해주는 소프트웨어입니다. 제작사의 사이트인 http://www.sysinternals.com 에서 다운로드 하면 됩니다. 따로 설치할 필요가 없으며, Filemon.exe를 실행하시면 실행됩니다.

1. Filemon의 메뉴구성.

Filemon의 메뉴구성에 대해 간략하게 말씀 드리겠습니다.

1-1. [File]

- Open : Filemon로그 파일을 엽니다.

- Save, Save as : 현재까지의 모니터링 정보를 로그파일로 저장합니다.

- Path Properties : 선택한 프로세스의 시스템 등록정보를 표시합니다.

- Process Properties : 선택한 프로세스의 경로와 레지스트리 값을 보여줍니다.

- Capture Events : 체크하면 모니터링을 실시하고, 해제하면 모니터링을 중지합니다.

- Exit : 프로그램을 종료합니다.

1-2. [Edit]

- Copy : 선택한 프로세스의 화면에 보이는 정보를 복사합니다.

- Delete : Filemon모니터링 상에서 삭제합니다.

- Include Process : 선택한 프로세스와 같은 프로세스만 화면상에 보여줍니다.

- Exclude Process : 선택한 프로세스와 같은 프로세스만 제외하고 화면상에 보여줍니다.

- Include Path : 선택한 프로세스와 같은 경로를 가지는 것만 화면상에 보여줍니다.

- Exclude Path : 선택한 프로세스와 같은 경로를 가지는 것만 제외하고 화면상에 보여줍니다.

- Find : 입력 받은 키워드에 해당하는 곳을 찾아 갑니다.

- Explorer Jump : 선택한 프로세스의 폴더를 엽니다.

- Clear Display : 모니터링 화면을 초기화 시킵니다.

1-3. [Option]

- Font : 글꼴을 수정 할 수 있습니다.

- Highlight Colors : 필터링에서 지정된 Highlight의 색을 결정할 수 있습니다.

- Filter/Highlight : 필터링과 Highlight을 설정 할 수 있습니다.

include는 입력된 값과 일치하는걸 보여줍니다.

Exclude는 입력된 값과 일치하는 것은 제외합니다.

Highlight는 입력된 값과 일치하는 것을 위에 옵션에서 설정된 색으로 보여줍니다.

- History Depth : 화면에 모니터링하여 보여줄 개수를 정합니다. 입력된 숫자만큼만 보여주며, 기본설정은 0입니다. 0부터 시작하여 입력된 숫자까지의 개수만큼 보여줍니다.

- Auto Scroll : 체크하면 스크롤을 자동으로 이동시키고, 해제하면 수동으로 이동시켜야 합니다.

- Advanced Output : 체크하면 Request를 좀 더 상세하게 보여줍니다.

- Clock Time : 체크하면 Time항목을 시간 : 분 : 초 단위로 나타내고, 해제하면 프로그램이 실행되는데 걸린 시간을 소수점으로 나타냅니다.

- Show Milliseconds : Clock Time이 체크 되었을 경우만 체크 가능합니다. 체크할 경우 시간 항목을

밀리 초까지 표시 합니다.

1-4. [Volume]

Volume은 모니터링을 할 것을 선택하는 메뉴입니다. Drive, Network, Mail Slot, Named Pipe 가 있습니다.

2. Filemon에서 개별선택과 화면구성

Filemon의 화면에 표시되는 항목에 대한 설명과 마우스 오른쪽 버튼을 통한 개별선택에 대해 말하겠습니다.

2-1. 화면구성

- # : 모니터링 한 것에 대한 번호입니다. 0부터 시작합니다.

- Time : 이벤트가 실행된 시간이나 실행되는데 걸리는 시간을 표시합니다.

- Process : 프로세스명과 PID을 표시합니다.

- Request : 파일이 한 행동에 대해 표시합니다.

- Path : 프로세서가 실행된 경로를 표시합니다.

2-2. 개별선택항목

프로세스를 선택하고 마우스 오른쪽 버튼을 누르면 다음과 같이 나옵니다. 나온 모든 메뉴는 위에서 언급했던 기능들과 같습니다.

3. 보안에서의 Filemon의 활용

보 안에서 Filemon의 활용방법은 악성프로그램들의 대다수는 다른 프로세스와 연동하여 스스로를 계속 재생시키거나, 자기 자신을 계속하여 증식해나가는 형태를 취합니다. 이러한 프로세스가 재생되는 것과 증식해나가는 것에 대한 기록을 Filemon을 통해 알 수 있습니다. 이를 통해 서로 연동하고 있는 프로세스를 추적할 수가 있고, 증식해나가는 파일이 무엇을 매개체로해서 증식해나가는지를 알 수 있어 악성프로그램을 추적하고 찾아내는데 용이하게 사용할 수 있습니다.

4. Filemon에 대한 활용방안과 설명이었습니다. 기타 추가적인 내용은 Help(도움말)을 통해 확인하거나 포럼에서 정보를 얻을 수 있을 것입니다.

http://forum.sysinternals.com/forum_topics.asp?FID=16

아래 내용을 *.bat 파일로 만들어서 저장하여 사용.

xcopy .\_Data .\new\ /T /E
pause

----------------------------------------

xcopy 설명 :

C:\>xcopy /?
파일과 디렉터리 트리를 복사합니다.

XCOPY 원본 [대상] [/A | /M] [/D[:데이터]] [/P] [/S [/E]] [/V] [/W]
                           [/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U]
                           [/K] [/N] [/O] [/X] [/Y] [/-Y] [/Z] [/B]
                           [/EXCLUDE:파일1[+파일2][+파일3]...]

  원본         복사할 파일을 지정합니다.
  대상         새 파일의 디렉터리와 또는 파일 이름을 지정합니다.
  /A           보관 특성을 가진 파일을 복사하며, 보관 특성을 수정하지
               않습니다.
  /M           보관 특성을 가진 원본 파일을 복사하며, 보관 특성을
               지웁니다.
  /D:m-d-y     지정된 날짜 이후에 바뀐 파일만 복사합니다.
               날짜가 지정되지 않으면, 대상 파일보다 새로운 원본 파일만
               복사합니다.
  /EXCLUDE:파일1[+파일2][+파일3]...
               문자열을 포함하는 파일 목록을 지정합니다.
               각 문자열은 파일의 다른 행에 있어야 합니다.
               일부 문자열이 복사할 파일의 절대 경로의 일부분과
               일치하면 복사할 파일에서 제외됩니다.
               예를 들면, \obj\ 또는 .obj에서는 obj 디렉터리 내의
               모든 파일을 제외하거나 .obj 확장자를 갖는 모든 파일을
               제외합니다.
  /P           각 대상 파일을 만들기 전에 물어봅니다.
  /S           비어 있지 않은 디렉터리와 하위 디렉터리를 복사합니다.
  /E           비어 있는 경우를 비롯한 디렉터리와 하위 디렉터리를 복사합니다.
               /S /E 스위치와 같으며, /T를 수정하는 데 사용될 수 있습니다.
  /V           새 파일의 크기를 확인합니다.
  /W           복사하기 전에 아무 키나 누릅니다.
  /C           오류가 생겨도 복사를 계속합니다.
  /I           대상을 찾을 수 없고 두 파일 이상을 복사하면, 대상을 디렉터리로
               지정합니다.
  /Q           복사하는 동안 파일 이름을 표시하지 않습니다.
  /F           복사하는 동안 원본과 대상 파일의 전체 경로를 표시합니다.
  /L           복사는 하지 않고, 복사할 파일을 표시만 합니다.
  /G           암호화 기능을 지원하지 않은 대상에 암호화된 파일을
               복사하도록 허용합니다.
  /H           숨겨진 파일과 시스템 파일도 복사합니다.
  /R           읽기 전용 파일을 겹쳐 씁니다.
  /T           파일은 복사하지 않고 디렉터리 구조만 복사합니다. 빈 디렉터리와
               하위 디렉터리는 포함되지 않습니다. /T /E 스위치를 함께 사용하면
               빈 디렉터리와 하위 디렉터리를 포함합니다.
  /U           대상에 이미 있는 파일을 업데이트합니다.
  /K           특성을 복사합니다. 일반적으로 Xcopy는 읽기 전용 특성을 지웁니다.
  /N           만들어진 짧은 파일 이름을 사용하여 복사합니다.
  /O           파일 소유권과 ACL 정보를 복사합니다.
  /X           파일 감사 설정을 복사합니다(/O 의미).
  /Y           이미 있는 대상 파일을 덮어쓸지를 확인하기 위해
               묻는 것을 금합니다.
  /-Y          이미 있는 대상 파일을 덮어쓸지를 확인하기 위해
               묻습니다.
  /Z           다시 시작할 수 있는 모드에서 네트워크 파일을 복사합니다.
  /B           기호화된 링크와 링크 대상을 복사합니다.
  /J           버퍼되지 않은 I/O를 사용하여 복사합니다. 매우 큰 파일에 권장합니
다.

/Y 스위치가 COPYCMD 환경 변수에 나타날 수 있습니다.
명령줄에 있는 /-Y와 함께 무시될 수 있습니다.

oCam을 사용추천 //2012.9

SGR3x86.exe

SGR3x86.exe

snoopy_GHOST_R3-이걸론 노트북에서 부팅안됨.exe

snoopy_GHOST_R3.iso

출처: http://snoopybox.co.kr/1349

버추얼 FDD 구버전 기반으로 만들어진 snoopy GHOST는 윈도우 7에서 실행되지 않는 경우가 많습니다. 여러가지 원인이 있지만 그중의 하나로 시스템 예약 파티션이 존재하는 경우도 해당합니다. 오래전부터 제가 이 문제를 가지고 생각을 좀 해봤는데, 오늘 머리를 굴려서 파일을 하나 만들어 봤습니다.

SGR3x86.exe

SGR3x64.exe

Cursor Hightlight 옵션 설정하기

해당 파일 로딩후 [도구]-[다중 페이지]-[지정하여 모두 추출...]을 선택

출처: http://bloggertip.com/2124

razorlame115.zip

Razorlame 다운로드↖
Lame 다운로드↙

Lame.rar

portable

CrystalDiskInfo5Cynthia05a.zip

정보 표시

CrystalDiskMark3_0_1a.zip

win7 Firefox에서 스크롤캡처가 됨.

픽픽은 안 되었음.

FastStoneCapture.sfx.zip