윈도우 루트킷을 쉽고 빠르게 찾아낼수 있는 프로그램중 하나가 IceSword 입니다.
북경 과학기술대학교의 pjf 출품작이기도 하며, 시스템 진단 및 악성프로그램들을 제거한다 목적으로 개발되었습니다.
여타의 Anti Rootkit 프로그램과는 다르게 IceSword 는 파일을 스캔하는 기능이 없습니다.
그리고 백업하는 방법이 없기때문에 조치를 취할때는 더욱 많은 주의가 필요 합니다.
윈도우서버 관리자 분들이 서버를 관리할때 참고하여 사용하시면 도움이 될 것 입니다.
삭제할 수 없는파일, logon list, 알 수 없는 프로세스, 숨겨진 프로세스의 숨겨진 포트,
윈도우즈 탐색기로 검색되지않는 프로세스들을 검출해 낼 수 있는 기능을 가지고 있습니다.
http://www.antirootkit.com/software/IceSword.htm
==> IceSword download
대부분의 악성 소스 및 프로세스는 적색으로 한눈에 알아볼 수 있도록 표시됩니다.
IceSword 이외에도 윈도우즈에서 사용가능한 다양한 프로그램들이 많이 있습니다.
http://www.microsoft.com/technet/sysinternals/Security
===> 윈도우즈에서 이용가능한 다양한 툴
1) 프로세스 검사
: Task Manager, Procexp 등을 이용하여 제거할 수 없는 프로세스 제거가능
2) 포트
: ActivePort등의 툴과 같은 현재 open 되어있는 포트 및 Listen 포트 확인 가능
3) Kernel
: 시스템에 추가한 PE 모듈 및 추가된 부팅부분 확인 가능
4) Startup
: Windows 부팅 그룹에 등록되어 있는 프로세스 리스트 확인 가능
( 시작프로그램 관리 기능 ) -> 단, 삭제기능은 없음
5) Services
: 시스템상에 숨겨져 있는 서비스까지 검출가능 ( 적색으로 표시됨 )
=> 정지 및 사용금지 적용가능
6) SPI, BHO
: dll과 연관되어 서비스 인터페이스를 제공하는데, 네트워크 조작등의 인터페이스도 연관
되어 있다. ( 해당 내용에관한 지식이 부족하다면 손대지 않는것이 좋습니다. )
7) SSDT (System Service Descriptor Table)
: 시스템의 서비스 함수를 수정한 기록이 적색으로 표시된다.
=> 적색으로 리스팅 되더라도 정상적인 프로그램이 있으므로, 조치를 취할때는 신중하게
조치를 취하셔야 합니다. ( 백신 프로그램 및 보안프로그램도 적색으로 표시됨 )
8) Message Hook
: 키보드 및 마우스 입력값 표시 -> 검사만 가능
위와같은 기능을 이용하여 관리자분께서 직접 백도어 파일이나 악성 스크립트 파일을
찾아내어 조치를 취할 수 있습니다.
단, 조치를 취할때 명확하지 않은 파일이나 프로세스를 제거하는 것은 시스템에 치명적인
손상을 입힐 수 있습니다.
북경 과학기술대학교의 pjf 출품작이기도 하며, 시스템 진단 및 악성프로그램들을 제거한다 목적으로 개발되었습니다.
여타의 Anti Rootkit 프로그램과는 다르게 IceSword 는 파일을 스캔하는 기능이 없습니다.
그리고 백업하는 방법이 없기때문에 조치를 취할때는 더욱 많은 주의가 필요 합니다.
윈도우서버 관리자 분들이 서버를 관리할때 참고하여 사용하시면 도움이 될 것 입니다.
삭제할 수 없는파일, logon list, 알 수 없는 프로세스, 숨겨진 프로세스의 숨겨진 포트,
윈도우즈 탐색기로 검색되지않는 프로세스들을 검출해 낼 수 있는 기능을 가지고 있습니다.
http://www.antirootkit.com/software/IceSword.htm
==> IceSword download
대부분의 악성 소스 및 프로세스는 적색으로 한눈에 알아볼 수 있도록 표시됩니다.
IceSword 이외에도 윈도우즈에서 사용가능한 다양한 프로그램들이 많이 있습니다.
http://www.microsoft.com/technet/sysinternals/Security
===> 윈도우즈에서 이용가능한 다양한 툴
1) 프로세스 검사
: Task Manager, Procexp 등을 이용하여 제거할 수 없는 프로세스 제거가능
2) 포트
: ActivePort등의 툴과 같은 현재 open 되어있는 포트 및 Listen 포트 확인 가능
3) Kernel
: 시스템에 추가한 PE 모듈 및 추가된 부팅부분 확인 가능
4) Startup
: Windows 부팅 그룹에 등록되어 있는 프로세스 리스트 확인 가능
( 시작프로그램 관리 기능 ) -> 단, 삭제기능은 없음
5) Services
: 시스템상에 숨겨져 있는 서비스까지 검출가능 ( 적색으로 표시됨 )
=> 정지 및 사용금지 적용가능
6) SPI, BHO
: dll과 연관되어 서비스 인터페이스를 제공하는데, 네트워크 조작등의 인터페이스도 연관
되어 있다. ( 해당 내용에관한 지식이 부족하다면 손대지 않는것이 좋습니다. )
7) SSDT (System Service Descriptor Table)
: 시스템의 서비스 함수를 수정한 기록이 적색으로 표시된다.
=> 적색으로 리스팅 되더라도 정상적인 프로그램이 있으므로, 조치를 취할때는 신중하게
조치를 취하셔야 합니다. ( 백신 프로그램 및 보안프로그램도 적색으로 표시됨 )
8) Message Hook
: 키보드 및 마우스 입력값 표시 -> 검사만 가능
위와같은 기능을 이용하여 관리자분께서 직접 백도어 파일이나 악성 스크립트 파일을
찾아내어 조치를 취할 수 있습니다.
단, 조치를 취할때 명확하지 않은 파일이나 프로세스를 제거하는 것은 시스템에 치명적인
손상을 입힐 수 있습니다.
IPSEC 설정
