DarkSpy는 꽤 강력하면서 재미있는 안티루트킷입니다. 앞서 설명한 몇 개의 안티루트킷보다 강력합니다. (추후 설명할 IceSword라는 안티루트킷이 제가 소개한 루트킷 중에서 가장 강력합니다)
안티루트킷이 강력하면 강력할수록 잘못된 사용으로 인한 부작용이 심각하게 있을 수 있지만, 이미 루트킷이 설치되었다는 점은 그만큼 시스템이 불안정하고 위험한 상태라는 것을 반증하는 것입니다. 이런 경우는 루트킷보다 강력한 안티루트킷으로 대항하여 분석하는 길 밖에 없습니다.
대부분의 안티루트킷은 사용자의 동의도 묻지 않은체 자신이 필요한 드라이버를 설치합니다. 하지만, DarkSpy는 설치한다는 정보를 보여줍니다. 그 후에 반드시 재부팅을 하여 관리자 모드(super mode)가 되어야 진정한 DarkSpy의 기능을 발휘합니다.
처음 실행시 드라이버를 설치하기 위한 질문
재부팅 전에는 일반 모드(normal mode)로, 재부팅 후에는 관리자 모드(super mode)로 동작을 합니다. (일부 백신에서는 이런 안티루트킷이 설치하는 드라이버를 위험요소로 잡아서 제거하는 경우도 있습니다. 따라서 백신을 정지하신 후에 안티루트킷을 동작시키셔야 합니다)
일반 모드로 동작하는 경우 고급 기능이 일부 동작하지 않으며, 관리자 모드로 동작하는 경우에는 모든 기능이 완벽하게 동작합니다. 관리자 모드로 들어가기 위해서는 1회의 재부팅이 필요하지만, 기능은 대단히 강력합니다.
DarkSpy는 GMER와 유사한 인터페이스를 가지고 있으나, GMER나 F-Secure BlackLight
, AVG Anti-Rootkit Free에서는 볼 수 없는 부분이 몇 있습니다. 바로 시스템 드라이버의 로딩 상태, 탐색기와 유사한 파일 브라우저, 강력한 레지스트리 편집 기능, 마지막으로 네트워크 연결 상태를 볼 수 있는 화면을 제공한다는 것입니다.
물론 이를 다 이해하기 위해서는 많은 지식이 있어야 하겠지만, 이런 정보를 쉽게 모니터링 할 수 있는 기회를 제공 받음으로써 더 많은 부분을 분석할 수 있습니다.
하지만, 이 DarkSpy의 단점은 "이것은 루트킷 입니다"라고 명확하게 보여주지 않는다는 것입니다. 따라서, 시스템을 잘 알고 있는 일정 수준의 엔지니어 이상이 사용했을 때 이 도구는 위력을 발휘할 수 있습니다.
제작사 홈페이지 : http://www.fyyre.net/%7Ecardmagic/index_en.html
'FAQ Topics > 해킹/웜/바이러스' 카테고리의 다른 글
| 루트킷과 같이 숨겨진 파일을 찾는 방법은? (1) | 2007/08/01 |
|---|---|
| "IceSword" 소개 (2) | 2007/07/30 |
| "DarkSpy" 소개 (3) | 2007/07/26 |
| "GMER" 소개 (0) | 2007/07/26 |
| "F-Secure BlackLight" 소개 (0) | 2007/07/20 |
| "AVG Anti-Rootkit Free" 소개 (2) | 2007/07/07 |
댓글을 달아 주세요
윗글 IceSword 가 잘 안된다고 판단하고 이번엔 이걸 사용해 보려 했습니다.
안전모드에서도 안되고, 일반모드에서는 파일자체를 실행할 수 없다고 나옵니다.
두세번 다운로드 받아서 해보았는데 안됩니다..
저는 단지 AVG에서 나온 루트킷 사용외에는 방법이 없는걸까요?
이미 루트킷을 사용하여 감염된 경우, 대부분의 안티루트킷들이 정상적인 Win32프로그램이 아니라고 하거나 실행파일이 사라지는 등의 현상이 발생합니다.
AVG의 경우 검사해봤자 검출이 되지 않으니까 만든 애들이 냅둔겁니다.
http://moonslab.com/421
다른 안티루트킷도 써보시지요~ ^^;