시스템 검사 도구 : RunScanner 1.8.1.0

RunScanner 시스템 검사 도구는 자신의 컴퓨터에 설치되어 동작하는 각종 프로세스, 모듈(Module), 시작 프로그램 등록 정보 등을 한 눈에 살펴볼 수 있으며, 특히 악성코드 감염이 의심스러울 때 외부의 전문가에게 자신의 시스템 환경 정보를 제공할 수 있는 로그(Log) 생성 등 다양한 분석 자료를 제공할 수 있도록 도와주는 프로그램입니다.

 

RunScanner is a freeware windows system utility which scans your system for all running programs, autostart locations, drivers, services and hijack points.
You can use Runscanner to detect changes and misconfigurations in your system caused by spyware, virusses or human errors.

<출처 : 제작사 홈페이지>

• 시스템 검사 도구 - TrendMicro HijackThis

일반인에게는 트랜드마이크로(TrendMicro) HijackThis 프로그램이 많이 알려져 있지만, 현재 해당 프로그램의 경우 장기간 업데이트가 없으며 최근의 악성코드 감염으로 인한 정보 분석에 미흡하다는 이야기가 있기에 RunScanner과 같은 또 다른 분석 도구도 유용하리라 생각됩니다.

 

해당 프로그램은 단독 실행 파일로 배포가 이루어지므로 제작사에서 파일을 다운로드하여 적당한 폴더 내에서 실행을 하면 그림과 같이 초기 화면에서 초보자 모드(Beginner mode) / 전문가 모드(Expert mode)를 선택하여 접근할 수 있도록 제공하고 있습니다.

초보자 모드의 경우 제공되는 정보를 수정(Fix)하지 못하도록 설정되어 있으므로 일정 지식이 있으신 분들은 전문가 모드로 실행하시길 바랍니다.

 

초기 실행 화면에서 사용자는 [Scan Computer] 버튼을 클릭하여 현재 사용자 시스템에서 프로세스, dll 라이브러리 정보 등을 수집할 수 있습니다.

 

해당 프로그램의 목적 자체가 HijackThis와 동일하게 생성된 정보 로그(Log)를 전문가 포럼 사이트에 공개하여 문제가 되는 항목을 전문가 의견을 통해 수정을 할 수 있도록 하는 방식입니다.

생성된 다양한 정보는 사용자가 [Save Run file] 버튼을 통해 run 확장자를 가지는 파일로 저장을 할 수 있으며, 차후에 해당 run 파일을 다시 불러올 수 있습니다. 반대로 특정인에게 시스템 정보를 제공할 경우에는 [Save log file] 버튼을 통해 txt 문서로 생성된 정보를 인터넷 상에 공개할 수 있습니다.

프로그램에서 제공하는 정보는 크게 Malware hunting / Extra stuff 항목으로 구분되어 있으며 각 항목에 대한 자세한 사항은 다음과 같습니다.

1. Malware hunting

 

[Malware hunting] 항목은 3개 부분으로 구성되어 있으며, 기본적으로 사용자 시스템에서 동작하는 각종 파일 정보를 확인하여 악의적인 파일이나 오류를 찾을 수 있습니다.

● Unrated Items

 

Unrated Items 항목에서는 필터(Filter)를 통해 Sign이 된 파일(인증된 파일)과 그렇지 않은 파일, 현재 존재하지 않는 파일이지만 등록된 정보를 제공하고 있습니다.

이 프로그램의 가장 큰 특징은 해당 항목 중 사용자가 특정 항목에 마우스 우클릭을 통해 생성된 메뉴를 통해 등록된 정보에 대한 다양한 정보를 손쉽게 확인할 수 있다는 점입니다.

예를 들어서 NetWorx 항목을 선택한 경우 구글(Google) 등 특정 사이트에서 해당 항목에 대한 정보를 자동으로 검사를 할 수 있으며, 최고의 장점은 다중 악성코드 검사 서비스 바이러스토탈(VirusTotal)에 해당 파일을 바로 업로드하여 악성 여부를 확인할 수 있습니다.

실제 그림과 같이 사용자가 클릭 한 번으로 파일이 자동으로 업로드가 되며, 웹 브라우저를 통해 바이러스토탈에 등록된 해당 파일의 검사를 진행하도록 구성되어 있습니다.

[Copy for clipboard] 메뉴는 사용자가 선택한 항목에 대한 정보를 복사하여 메모장에서 붙여넣기를 할 경우 그림과 같이 상세한 등록정보를 확인할 수 있습니다.

또한 선택한 항목에 대한 폴더 접근, 레지스트리 접근, 파일 등록정보를 바로 확인할 수 있도록 구성하여 편의성을 제공하고 있습니다.

제공되는 항목의 좌측에서는 사용자가 특정 항목을 선택할 수 있도록 체크 박스가 있지만 체크를 하시려면 해당 항목을 마우스 우클릭을 통해 생성된 메뉴에서 [Mark / unmark item]을 통해 체크를 하실 수 잇으며, 체크를 한 항목은 그림과 같이 표시가 됩니다.

● Item fixer

사용자가 체크한 항목은 자동으로 [Item fixer] 탭 항목에 목록이 생성이 되며, 해당 항목을 수정하기 위해서는 [Fix selected items] 버튼을 클릭하시면 됩니다.

단, 전문적인 지식이 없이 함부로 수정 작업을 하실 경우 시스템에 치명적인 문제가 발생할 수 있으므로 주의하시기 바랍니다.

만약 선택한 항목을 수정하지 않으시려면 체크된 항목의 체크를 다시 풀어주시면 목록에서 제거가 됩니다.

● Loaded modules

[Loaded modules] 항목은 현재 사용자 시스템에서 동작 중인 다양한 모듈 파일 정보를 통해 악의적인 파일이 동작하는지를 확인할 수 있습니다.
해당 항목 역시 사용자가 원하는 특정 항목을 선택하여 다양한 정보를 수집할 수 있으므로 잘 활용하시기 바랍니다.

2. Extra stuff

 

[Extra stuff] 항목은 그 외의 사용자 시스템 정보를 제공하는 기능으로 시작 프로그램 등록 정보, 호스트(Host) 파일 정보, 프로세스 정보를 제공하고 있습니다.

● All Autostart items

해당 항목은 시스템에서 자동 실행을 하도록 설정된 모든 값을 확인할 수 있습니다.

방대한 정보가 제시되므로 특정 카테고리를 찾기 위해서는 [Collapse tree]를 통해 펼쳐진 트리 구조를 모아서 원하는 항목에 접근하는 것도 방법이며, 트리를 다시 확장하기 위해서는 [Expand tree]를 통해 모두 펼칠 수 있습니다.

● Process killer

해당 항목은 동작하는 프로세스 정보를 확인할 수 있으며, 앞서와 같이 의심스러운 프로세스는 바로 바이러스토탈에 업로드를 하여 확인을 할 수 있도록 구성되어 있습니다.

특히 특정 프로세스를 선택하여 마우스 우클릭 메뉴에서 제공하는 프로세스 종료, 이름 수정, 지우기, 재부팅 후 지우기 기능을 통해 악의적으로 동작하는 프로세스를 제거할 수 있습니다.

● Host file editor

윈도우 시스템 폴더 내부에 위치한 호스트 파일을 해당 프로그램을 통해 바로 수정을 할 수 있도록 제공하고 있습니다.

그 외에 [History / backups] 기능을 통해 사용자가 수정한 항목에 대한 기록 및 백업을 지원하고 있습니다.

RunScanner 프로그램은 사용자가 직접 자신의 시스템을 체크할 수 있는 기능과 함께 타인에게 자신의 컴퓨터 정보를 제공하여 문제를 해결하는데 도움을 받기 위한 두 가지 기능을 가지고 있으므로 잘 활용을 하신다면 컴퓨터의 문제를 수정하는데 도움이 되리라 생각이 들며, 악성코드 감염으로 고생하시는 분들 중에 단순히 글로 작성하여 정보 제공에 어려움이 있을 경우 이런 프로그램을 통해 상세한 정보를 제공할 수 있다는 점도 참고하시기 바랍니다.