해외 보안 관련 포럼 사이트에서는 사용자 시스템에 문제가 발생하였을 경우 1차적으로 시스템 검사 도구를 이용하여 사용자 컴퓨터에 설치된 간단한 정보를 수집하여 악성 프로그램 존재 여부를 체크하는 모습을 심심찮게 볼 수 있습니다.

하지만 국내에서는 이런 포럼 사이트가 거의 존재하지 않고 있으며 문제가 발생하였을 경우 타인에게 정보 제공을 하기가 사실상 전문 지식이 없는 상태에서는 어려운 것이 사실인데, 이미 블로그에서도 소개를 해 드린 다음과 같은 프로그램을 통해 사용자는 자신의 시스템에서 로그(Log)를 작성하여 전문가에게 문제를 의뢰할 수 있습니다.

Trend Micro 보안 업체에서 제공하는 HijackThis를 이용할 경우에는 매우 빠르게 검사가 가능한 반면 전문가가 아니라면 쉽게 악성 여부를 판별하기 매우 어렵다는 단점이 있습니다.

반면 RunScanner 제품은 일반 사용자가 타인에게 문의하지 않고 현재 시스템의 파일 정보를 바탕으로 VirusTotal에 업로드할 수 있는 기능을 통해 실시간으로 악성 여부를 체크할 수 있는 장점이 있습니다.

개인적으로 개인이 직접 시스템 감염 여부를 확인하기에는 RunScanner 제품을 추천해 드리고, 외부의 전문가에게 문의를 할 때에는 이번에 소개하는 Hijack Hunter 프로그램을 추천합니다.

해당 프로그램의 가장 큰 장점은 로그(Log) 정보를 통해 기록된 파일의 MD5 값을 알 수 있다는 점과 분석(검사) 시점을 기준으로 이전에 생성된 파일 흔적을 추적하여 최근 문제를 일으키게 된 원인을 유추하기 편하다는 점이 아닐까 싶습니다.

해당 프로그램의 소개는 2편으로 나누어 이번 시간에는 메뉴 구성과 분석 방법에 대한 부분을 중점으로 소개해 드리겠습니다.

1. 설치 & 메뉴 구성


해당 프로그램의 제작사는 온라인 멀티 보안 스캔 서비스를 제공하는 NoVirusThanks에서 제공하는 무료 시스템 검사 도구로 현재 Hijack Hunter 1.8.2 버전까지 공개되어 있습니다.


프로그램에서는 몇 개국의 언어를 지원하지만 한국어 지원은 없으므로 설치시 [English] 기본값을 이용하실 수 있습니다.


프로그램의 메인 화면은 좌측의 메뉴와 우측의 세부 항목으로 구성되어 있으며, 여기에서는 분석(Analyzer)과 환경 설정(Settings) 항목에 대해 살펴보도록 하겠습니다.


상단의 메뉴 항목을 정리해보면, 가장 핵심적인 항목은 [Windows Tools] 메뉴를 통해 Windows에서 제공하는 각종 기능(레지스트리 편집기, 작업 관리자, CMD, 그룹 정책 편집기, 이벤트 뷰어, MRT 등)에 바로 접근할 수 있도록 편의성을 제공하고 있다는 점입니다.

2. 환경 설정(Settings)


분석에 앞서 분석을 위한 제품의 환경 설정 항목을 확인할 필요가 있습니다.(체크 항목은 프로그램 기본값으로 표시하고 있습니다.)

■ General


제품이 시스템 분석시 시스템 자원을 많이 사용할 수 있다는 점에서 [Try to reduce memory usage] 항목은 반드시 체크를 하시고 이용하시기 바랍니다.

■ Report


검사가 완료된 시점에서 로그를 기록한 보고서를 텍스트 문서로 저장하는 것과 관련된 항목으로 기본값에서는 기록된 텍스트 문서는 바탕화면에 자동으로 저장되며 메모장을 통해 열도록 구성되어 있습니다.

참고로 이렇게 생성된 로그 파일(.txt)을 인터넷 상에 게시하여 자신의 시스템에서 문제가 되는 항목을 전문가에게 문의할 수 있습니다.

■ Scan


분석(검사) 기능에서는 약 33종의 검사가 이루어지고 있으며 환경 설정의 Scan 항목에서는 검사에서 일부 항목에 대해 선택할 수 있도록 구성되어 있습니다.

해당 항목에서는 [Exclude Microsoft System Files] 검사 여부는 사용자가 판단하여 제외할지 여부를 결정하시기 바라며, 개인적으로 반드시 [Files created/modified 15 days ago] 항목을 체크하여 검사를 하시길 권장합니다.

이유는 자신도 모르게 설치된 프로그램으로 인하여 갑자기 문제가 발생하였을 경우 어떤 프로그램(파일)이 설치되었는지 확인할 수 있는 핵심적 항목입니다.

■ Files


해당 항목은 사용자가 특정 폴더(파일)의 경로를 수동으로 입력하여 검사시 추가할 수 있는 기능으로 사용자 시스템 환경에 따라 선택하실 수 있습니다.

■ Registry


해당 항목은 사용자가 추가적으로 레지스트리 특정 경로(값)을 수동으로 등록할 수 있는 기능입니다.

■ Exclusions


해당 항목은 이전의 Microsoft 시스템 파일 이외에 프로그램에서 제공하는 신뢰할 수 있는 파일에 대한 검사 제외 기능으로, 사용자는 추가적으로 하단의 [Select file]에서 특정 파일을 선택하여 [+] 버튼을 실행하여 목록에 추가를 할 수 있습니다.

■ Language


프로그램에서는 영어 이외에 일부 언어를 지원하고 있으며, 업데이트시 새로운 언어가 추가될 수 있습니다.

3. 분석하기(Analyzer)



분석시에 소요되는 시간은 사용자 시스템에 설치된 프로그램의 용량에 따라 다르며 대체로 5분 전후의 시간이 소요될 것으로 보입니다.


검사가 완료되면 프로그램 상의 분석 항목에 결과가 표시됨과 동시에 바탕화면에 생성된 로그 파일의 내용을 메모장으로 함께 실행하는 동작을 합니다.

■ 파일 해석하기


로그에 기록된 내용을 해석하는 방법은 검사 항목인 [Running processes] 부분을 예로 들어보면, 파일 경로, 파일 크기, 파일 제작사, 파일 생성 시간, 파일 속성, MD5 값으로 구분되어 있습니다.

많이 사용하는 분석 도구인 HijackThis의 경우 MD5 값이 표시되지 않아서 단순히 파일 경로와 파일명만으로 악성 여부를 판단하기 매우 어려운 반면 이처럼 로그 파일에 MD5 값을 통해 다음과 같이 활용을 하실 수 있습니다.


온라인 멀티 보안 검사 서비스 바이러스토탈(VirusTotal)에서 제공하는 [Hash Search] 기능을 통해 로그에 기록된 MD5 값을 입력하여 파일의 악성 여부를 파일없이 확인하실 수 있습니다.

■ 레지스트리 해석하기


일반적으로 레지스트리 편집기(regedit)를 통해 확인할 수 있는 시작 프로그램 등록 정보를 그림과 같이 Key, Data, Value 항목으로 구분하여 세부적으로 확인할 수 있습니다.

사용자는 시작 프로그램으로 등록된 레지스트리 값을 통해 어떤 프로그램(파일)이 등록되어 시스템 시작시 자동으로 동작하는지 여부를 확인할 수 있습니다.

■ 과거 15일 전에 생성(수정)된 파일 해석하기


해당 프로그램의 흥미로운 기능은 이처럼 검사 시간을 기준으로 최근(15일)에 생성(수정)된 파일 정보를 수집하여 사용자 몰래 설치된 프로그램(파일) 여부를 확인할 수 있다는 점입니다.

이를 통해 자신도 모르게 수상한 프로그램이 동작시 어떤 경로에 위치하고 있는지 여부 등을 유추할 수 있으리라 생각됩니다.

■ 네트워크 연결 해석하기


분석시 사용자 시스템에서 외부와 연결된 TCP, UDP 프로토콜 관련 정보를 통해 어떤 파일이 포트를 오픈하고 연결을 시도하고 있는지 여부를 확인할 수 있습니다.



이처럼 Hijack Hunter 프로그램은 기존에 알려진 분석 프로그램에 비해 조금 더 확장되고 세분화된 분류를 통해 문제의 시스템 정보를 파악하기 쉽게 구성되어 있습니다.

차이가 있다면 해당 프로그램은 HijackThis, RunScanner 제품과는 달리 문제 해결을 위한 수정(삭제) 기능을 제공하지 않지만, 의심되는 정보를 수집하여 보안 업체에 문의하거나 수동으로 제거할 수 있는 기초 정보를 제공한다는 점에서 훌륭하다고 판단됩니다.
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..