울지않는벌새 : Security, Movie & Society

GMER 도구를 이용한 보이지 않는 파일(폴더) 찾기

벌새::Security
일반적으로 Windows 시스템에 설치된 파일은 해당 파일의 속성에 따라 기본값으로 Windows 탐색기에 노출이 되는 경우가 있지만, 일부 파일은 숨김 속성으로 인하여 보이지 않는 경우가 있습니다. 특히 Windows 시스템 파일의 경우에는 추가적인 안전 장치가 되어 있습니다.

이러한 속성으로 인해 필요에 따라서 숨김 파일(폴더)를 보기 위해 [폴더 옵션 - 보기 - 숨김 파일 및 폴더] 항목에서 [숨김 파일 및 폴더 표시] 항목에 체크를 하여 볼 수 있으며, Windows에서 보호된 시스템 관련 중요 파일을 추가적으로 보기 위해서는 [보호된 운영 체제 파일 숨기기(권장)] 항목의 체크 부분을 해제하여 볼 수 있습니다.

하지만 이런 Windows에서 제공하는 설정 변경을 한 상태에서 휴지통 내부를 열어보면 그림과 같이 텅 비어 있는 것을 확인할 수 있습니다.

하지만, 최근 발견되는 일부 악성코드의 경우 휴지통 내부에 파일을 생성하여 일반 사용자들이 해당 파일이 보안 제품에서 진단되지만 Windows 탐색기를 통해 전혀 나타나지 않는 것으로 인해 혼란스러워 하는 경우가 있습니다.

이런 경우에는 어떻게 사용자가 해당 파일에 접근할 수 있는지 GMER 도구를 통해 확인해 보도록 하겠습니다.

GMER 도구는 해외에서 제작된 무료 루트킷(Rootkit) 검사 및 제거 도구로 현재 해외 보안 제품 avast!에서 이용을 하고 있는 것으로 알고 있으며, 과거 중국에서 제작된 IceSword 제품의 대용 프로그램입니다.

그 이유는 IceSword의 경우 2007년 이후로 업데이트가 중단되어 실제 최근의 루트킷 파일을 제대로 찾을 수 없는 것으로 알고 있습니다. 물론 GMER을 우회하기 위해 GMER에서도 보이지 않는 파일이 존재할 수 있습니다.

해당 프로그램의 경우 역으로 악성코드 제작자들이 금융권 보호 프로그램을 뚫기 위해 악성코드에 적용하는 기술로도 악용당하고 있는 프로그램으로 Windows 내부에 존재하는 보이지 않는 파일(폴더)를 찾는데 활용할 수 있습니다.

GMER 프로그램을 실행하여 상단 메뉴에서 [File] 항목을 선택하시면 그림과 같이 Windows 탐색기 형태의 트리(Tree) 구조가 나오며, 휴지통(RECYCLER) 내부를 열어보면 이전에는 보이지 않던 추가적인 폴더와 그 내부에 존재하는 파일을 확인할 수 있습니다.

해당 도구의 장점 중의 하나는 해당 탐색기에서는 파일을 선택하여도 실제 파일의 실행 동작이 없어서 악성코드 파일에 대하여 안전하게 파일을 복사, 삭제, 종료를 할 수 있습니다.

악성코드 감염으로 인해 보안 제품에서 진단된 파일을 찾을 수 없는 경우 해당 도구를 이용하시기 바라며, 주의하실 점은 해당 도구는 기본적으로 Rootkit 검사 도구로 초기 실행시 Rootkit 검사를 진행하며 일부 사용자 컴퓨터 환경에서 진단되는 경우가 있지만 진단되는 모든 것이 악성 Rootkit으로 단정할 수 없으므로 함부로 삭제하지 않도록 매우 주의하시기 바랍니다.