해외 ESET, spol. s r.o. 보안 업체에서 제공하는 통합 보안 솔루션 ESET Smart Security 7 보안 제품에 포함된 시스템 정보 분석 도구 "ESET SysInspector" 기능에 대해 살펴보도록 하겠습니다.
ESET SysInspector 도구는 마이크로소프트(Microsoft)사에서 제공하는 Windows Sysinternals Autoruns 도구의 확장된 기능을 제공하고 있으며, 기본적으로 ESET 보안 제품 자체에 통합되어 지원되고 있지만 개별 제품으로 다운로드하여 ESET 보안 제품을 사용하지 않는 사용자도 이용할 수 있도록 제공하고 있습니다.
ESET SysInspector 도구의 핵심적인 기능은 현재 시스템의 상태를 스냅샷(Snapshot)으로 저장한 후 특정 이슈가 발생하였을 경우 추가적인 스냅샷(Snapshot)을 찍어 이전 상태와 비교하여 변화된 시스템 정보를 바탕으로 문제점을 찾을 수 있도록 하는 프로그램입니다.
1. 스냅샷(Snapshot) 생성 방법
사용을 위해서는 ESET Smart Security 7 보안 제품의 "도구 → ESET SysInspector" 메뉴를 실행하시면 됩니다.
ESET SysInspector 도구의 "생성" 버튼을 클릭하여 현재 시스템 상태에 대한 스냅샷(Snapshot)을 생성할 수 있으며, 시스템 상태에 따라 수십초 이상의 시간이 소요될 수 있습니다.
생성된 스냅샷(Snapshot)을 선택하여 마우스 우클릭을 하시면 세부적인 메뉴가 생성되며, "표시" 버튼을 클릭하시면 다음과 같이 생성된 스냅샷(Snapshot)에 대한 정보를 ESET SysInspector 프로그램을 통해 확인할 수 있습니다.(※ 일부 환경에서는 버그(Bug)로 추정되는 문제로 인하여 ESET SysInspector 프로그램이 화면상에 표시되지 않는 것 같습니다.)
2. ESET SysInspector 기본 구성 살펴보기
ESET SysInspector 기본 화면은 "상세 정보" 메뉴를 통해 전체(기본값), 보통, 기본으로 구분되어 표시할 수 있으며, "기본"으로 변경할 경우 좌측 사이드 메뉴 중 일부가 표시되지 않을 수 있으므로 기본값 그대로 사용하시기 바랍니다.
"필터링" 메뉴는 ESET SysInspector 도구를 통해 제공되는 많은 정보 중에서 위험 수준에 따라 필터링된 정보를 표시하도록하여 빠르게 정보를 확인할 수 있는 매우 유용한 기능입니다.
기본적인 필터링 수준은 "정상(위험 수준 : 1~3), 알 수 없음(위험 수준 : 4~6), 위험(위험 수준 : 7~9)" 3단계로 구분되어 있으며, 실제 분석시에는 필터링 수준을 적절한 수준으로 올리면서 확인을 하시면 빠르게 찾을 수 있습니다.
실제 "파일 상세 정보"에서 필터링 수준을 "알 수 없음(위험 수준 : 4)"으로 변경한 경우 안전한 파일을 제외한 파일만 필터링되어 표시되는 것을 확인할 수 있습니다.
3. ESET SysInspector 도구를 이용한 실제 활용 사례
예를 들어 정상적인 시스템 환경에서 ESET SysInspector 도구를 통해 스냅샷(Snapshot)을 생성한 후 사용자가 웹하드 프로그램 설치 과정에서 제대로 확인하지 않고 설치하는 과정에서 추가될 수 있는 제휴 프로그램(시작 페이지 변경, 스마트매니져(Windows Smart Pack) 광고 프로그램 설치)에 대한 사례를 살펴보도록 하겠습니다.
프로그램이 설치된 이후 이전과 다르게 광고창 등 이상한 증상이 발생할 경우 추가적인 스냅샷(Snapshot)을 생성한 후, 생성된 각각의 스냅샷(Snapshot)을 모두 선택한 후 "비교" 버튼을 클릭합니다.
그러면 자동으로 ESET SysInspector 프로그램이 실행되어 저장된 양쪽의 스냅샷(Snapshot) 정보를 읽어 다음과 같은 정보를 표시해 줍니다.
기본적으로 표시된 ESET SysInspector 창에서는 비교 대상이 되는 2개의 스냅샷(Snapshot)의 "추가된 내용"만을 표시해주므로 반드시 "모두"로 변경하시고 사용하시기 바랍니다.
ESET SysInspector 도구를 통해 표시된 메뉴 구성을 간단하게 살펴보면 좌측 메뉴 상단에는 "실행 중인 프로세스, 네트워크 연결, 중요 레지스트리 항목, 서비스, 드라이버, 중요 파일, 시스템 스케줄러 작업, 시스템 정보, 파일 상세 정보, 정보" 항목이 배치되어 있습니다.
좌측 중간 "로그 상태" 메뉴에는 사용자가 선택하여 비교하는 2개의 스냅샷 이름이 표시되며, 그 아래 "아이콘 범례 비교"에서는 상위에 표시된 각 항목별 이름 옆에 표시되는 아이콘 모양에 대한 설명을 확인할 수 있습니다.
(1) 실행 중인 프로세스
프로그램 설치로 인해 현재 "실행 중인 프로세스" 정보를 비교해 보기 위해서는 많은 프로세스 중 의심스러운 프로세스를 찾기 위해 필터링 수준을 "알 수 없음(위험 수준 : 4)"로 변경한 경우 빠르게 확인할 수 있었습니다.
이를 통해 Windows Smart Pack 프로그램 설치를 통해 실행 중인 "C:\Program Files\smartmanager\smpsvc.exe" 프로세스를 쉽게 발견할 수 있으며, 해당 모듈을 선택하면 하단에 파일에 대한 상세한 정보를 확인할 수 있습니다.
(2) 네트워크 연결
"네트워크 연결" 항목에는 "TCP 연결, UDP 연결, DNS 서버"에 대한 정보를 확인할 수 있으며, 그 중에서 아이콘이 표시된 부분이 변경된 부분임을 쉽게 알 수 있기에 "TCP 연결"을 선택하여 필터링 수준을 한 단계 올려 보면 다운즈(Downs) 웹하드 프로그램 설치로 인하여 동작하는 서비스(downsservice.exe)가 특정 서버와 연결하는 동작을 찾을 수 있습니다.
(3) 중요 레지스트리 항목
"중요 레지스트리 항목"에서는 "표준 자동 시작, 브라우저 도우미 개체, Internet Explorer, 쉘 실행 명령, 네트워크, 쉘 실행 후크, 인쇄 모니터, 유형 라이브러리, 바탕 화면, ESET, Microsoft Exchange" 항목으로 구성되어 있습니다.
이렇게 많은 항목 중에서 조금 더 빠르게 정보를 확인하기 위해서는 각 항목에 표시된 아이콘 여부를 1차적으로 확인하여 접근하시면 되며, 추가적으로 필터링 수준을 한 단계씩 높이는 방식으로 필터링된 정보를 통해 알 수 없거나 위험한 레지스트리 값을 찾을 수 있습니다.
그 중에서 이번 사례에서는 제휴 프로그램 설치로 인해 홈(시작) 페이지 변경이 이루어졌으므로, "Internet Explorer" 항목을 선택하여 필터링 수준을 올려보면 "Start Page" 관련한 변경된 레지스트리 값을 발견할 수 있습니다.
(4) 서비스
"서비스" 항목에서는 필터링 수준을 높여 확인해보면 다운즈(Downs) 웹하드에서 등록한 "Downs Service"와 Windows Smart Pack 광고 프로그램이 등록한 "Windows Smart Pack Service" 값을 빠르게 찾을 수 있습니다.
(5) 파일 상세 정보
"파일 상세 정보"에서도 필터링 수준을 높여 위험 수준을 알 수 없거나 위험한 파일만을 필터링하여 문제가 되는 파일을 빠르게 찾을 수 있으며, 해당 파일에 대한 상세한 파일 정보를 확인하여 "링크 대상"에 표시된 내용을 바탕으로 현재 실행 중인 프로세스이며 서비스에 등록되어 있음을 알 수 있습니다.
위와 같은 ESET SysInspector 도구는 모든 일반 사용자에게 권장할 프로그램은 분명 아니지만 악성코드 분석에 활용하기에 매우 좋은 접근 방법을 제시해 주고 있으며, 반대로 악성 프로그램이 수시로 감염되는 사용자의 경우에도 프로그램 설치 전 생성한 스냅샷(Snapshot)과 설치 후를 비교하는 습관을 원하신다면 강력하게 추천하는 프로그램입니다.
☞ ESET Smart Security 6 : 제품 소개와 설치 방법 (2013.10.7)
☞ ESET Smart Security 6 : 시스템 트레이 아이콘 메뉴 (2013.10.10)
☞ ESET Smart Security 6 : 웹 브라우저 보호와 차단 허용 (2013.10.16)
☞ ESET Smart Security 7 버전 출시와 업그레이드 방법 (2013.10.18)
☞ ESET Smart Security 7 : 실시간 파일 시스템 보호 (2013.10.22)
☞ ESET Smart Security 7 : 마우스 우클릭 검사 (2013.10.23)
☞ ESET Smart Security 7 : 컴퓨터 검사 (2013.10.24)