BLOG main image
쉿쉿 -Σ- 우린 서로 모르는 겁니다.

'무식하면용감하다'에 해당되는 글 1건

  1. 2007.11.27 rootkit이 '뿌리'라는 SkySummer씨. 6

반쪽짜리 무료백신을 내세워서 또 한번 시장을 어지럽히는 이슷소프트의 알약을 쵸쵸유명하신 블로거님이 까주셔서 감사해야할 판인데도!

병맛이 느껴지는 이유.

병맛 1.
ALBNConnector.exe라는 수상한 프로그램을 깐 것은 좋은데, 어 이거 개인정보 유출은 아니지 않나요? 하는 글에 졸라 병맛나게 응대하셨음.
당연하죠.. 의혹이라는 것 자체가 원래 추측입니다..
문제는 그 추측이 얼마나 신빙성이 있느냐 입니다..
신빙성 여부를 따지는 것이 중요하지, 추측을 추측이라 하며 논지를 흐리는 일은 싸우자는 것 밖에 되지 않죠..

그렇다면 왜 제 추측이 신빙성이 있는가를 말씀드리죠..
ALBNCollector에 대한 위 스샷을 잘 보세요..
"protocol : UDP Out"
남의 글에 대고 추측이니, 난무니 하며 단정할 수 있는 정도의 지식과 수준이라면 UDP가 어떤 프로토콜인지, Out이 뭔지 정도는 알겠죠?
UDP 53번 포트는 DNS 질의가 맞거든염?
의심가시면 포트 스니핑 프로그램 띄워놓고 몇번 포트로 아웃 나가나 보시면 되거든염?
웹브라우저에 사이트 주소를 입력하면 UDP 53번 포트로 DNS Query가 나갈테니 웹브라우저도 수상한 프로그램으로 판단하시면 되겠습니다 ㄳ

의혹을 제기할 때는 '확실한' 증거와 함께 제기하는 좋은 습관을 꼭 들이시도록.

병맛 2.
젭알 루트킷에 대한 개념탑재부터 일단 했으면 하네효.

보안업계에 종사하시는 분이 친절하게 설명을 적어놓았는데도 아군 적군 구별도 못하고 (알약은 자기도 본문에서 깠잖아?) 일단 자기 글을 지적하는 것 같으니 아래와 같이 써놓는데,
정상세포를 hooking한 암세포도, 해당 부분만을 삭제하고, 원세포를 복구하면 치료가 가능합니다..
그런식의 이론적인 논법이라면 세상에 안 되는 일이 없죠..
그리고 어감을 듣자하니 대부분의 루트킷은 치료가 가능하고, 일부만이 불가하다는 투로 들리는데, 제가 아는 바와 전혀 다르군요..
한 번 사례나 치료법이 실린 백신 사이트, 보안 사이트 등을 제시해 주세요..
루트킷에 감염된 것을 말 그대로 "치료"하고(삭제가 아니라), 그 소프트웨어 본연의 기능을 100% 그대로 사용할 수 있는 소프트웨어나 사례가 있으면..
흥미 있게 참고하겠습니다..
시스템이 루트킷에 감염되었다는건 프로그램이 자신을 숨겨놓고 있는 것이니 당연히 그 프로그램을 '삭제'하면, 그게 '치료'이지 거기에 말꼬리 잡는 꼬락서니 하며..

일단 말하는 싸가지는 좀 제쳐놓고.. 우선 본문을 인용해봅니다. 여기도 정말 병맛이 제대로 느껴지는데,
그런데 의아한 것은 루트킷을 치료했다는 바로 저 문구입니다..
루트킷의 침투는 본질적으로 Hooking에 의한 기법을 사용합니다.. 함수, 프로세스, 커널 등에 침투하여 스스로를 은닉시킨 후 최고 관리자 권한을 얻거나, 프로세스와 동시에 활동합니다.. 그래서 뿌리(Root)라는 단어가 들어갑니다..
따라서 루트킷의 삭제는 거의 불가합니다.. 현재 전 세계 어느 백신도 완벽하게 루트킷을 치료하지 못합니다..
일부에서 의미하는 치료는 통상적으로 알려진 그 치료가 아닙니다.. 조류독감에 걸린 오리를 폐사시키듯, Hooking된 프로세스까지 함께 파괴시켜버리는 것을 말합니다.. 결국, PC가 어제 그 상태 그대로 복구되지 못합니다..
요는, 분명히 작동하지 않거나 문제를 일으키는 프로그램이 존재해야 한다는 것입니다..
하지만 필자가 테스트한 PC는 말짱합니다..
알약의 의미 그대로 받아들이면 너무너무 완벽하게 루트킷이 치료되었습니다..
알약 개발자는 MS의 빌 게이츠에게 이메일을 보내야 할지도 모릅니다.. 노벨상까지는 좀 오바고, 당장에 MS 수석 프로그래머로 채용될 수 있을 것 같습니다..
루트킷을 최초로 발견한 Mark Russinovich가 경탄을 금치 못할 겁니다..
좋아요. 요새 백신들이 루트킷 제대로 못잡아서 나도 가끔 룻킷땜시 고생할 때면 백신 업체들이 원망스러운게 사실이긴 하지. 그런데 기본적인 팩트는 좀 확인하고 까야될 것 아녀.. rootkit이 시스템의 뿌리를 뒤흔든다고 해서 rootkit이라고 하신 것부터, 자신의 무지를 감추려 목청을 오히려 높이는 모습에서 감칠맛나는 병맛이 느껴집니다.

마크 루시노비치씨가 NT 루트킷을 '최초로 발견' 했다는 곳에 이르면 눈에서 땀이 다 나네효. 마크 루시노비치씨는 밥맛이 풍기는 소니 DRM을 보고서 최초로 NT 루트킷을 발견했다고 하신거군효? 그 양반은 그런 적이 없을텐데 어찌 그리 당당히 써놓지.

바이러스가 다른 프로그램을 감염시킬 때 원래 파일을 파괴하면 당연히 복구시키지 못하지요. 그런데 룻킷은 보통 감염시키는게 아니라 프로그램 하나가 시스템을 '후킹'하여 설치되는 것이라고 자기도 말해놓고? 따라서 룻킷 본체를 떨어뜨리고, 파일을 지우면 보통 복구됩니다. 왜냐면 애초에 후킹을 안하면 원래대로 돌아가는 거거등.. 물론 개중엔 레지스트리에 이상한 장난을 쳐놔서 복구해줘야 하는 경우도 있지만. 이걸 가지고 '어제 그 상태 그대로 복구되지 못하는거 아니냐'라고 하면 참..

그럼 스파이웨어나 팝업 띄우는 악성 코드등은 어떻게 '완벽'하게 치료하는 건가효?

혹시 rootkit unhooker나 gmer라는 프로그램은 아시나효?
후킹된거 찾아내서 다 풀고 숨겨진 프로그램을 찾아냅니다. 모르면 찾아서 써보등가.
이번에 루트킷에 대해 나온 책이 에이콘 출판사에서 나왔거든효. 찾아서 읽어보등가.
'내가 왜 해야 하냐'고? 당신이 뭘 좀 알아야 팩트를 제대로 전달할 것 아닙니까.
딴지는 아니지만, 느닷없이 튀어 나온 API 예는 재미있습니다..
소프트웨어의 제작이나 규약을 논하는 것이 아니라, 그것을 파괴하거나 침투하는 멀웨어 이야기를 하는데 갑자기 API가 나오는군요..
예가 틀렸다는 말은 아닙니다.. 오해 마시길.. API에도 전염은 가능하겠죠..
다만, API에 루트킷이 침투한 것도 모르고 사용하는 개념없는 프로그래머를 상상하니 조금 우스웠고,
API, IoControl code, 모듈 등등의 전문적인 용어를 차용해가며 애써 글을 쓰시는 모습이 재미있었습니다.. 이거 뭐 무서워서 저같은 범인들이 대항이나 하겠습니까? ㅋ
모르면 제발 모른다고 해요. 병맛나게 좀 그만 깐죽대고. 당신 도우려는 사람한테 그게 뭡니까?
개념없는 프로그래머? 루트킷이 제대로 숨어들면 보통 뭘 해도 안드러나요. 님하가 리뷰하신 F-PROT BlackLight 가지고도 못찾는거 존내 많다고효. 안티룻킷 스캐너들도 제대로 찾는거 얼마 없는 마당인데 '개념없는 프로그래머'라.

특정 포트를 여는게 보이지 않느냐고 하신다면.. 로컬 컴퓨터에서는 뭘 해도 안찾아지고, 요새는 외부 컴퓨터에서 포트 스캐닝을 하는 것도 회피하려고 온갖 꼼수 다쓰는 놈이 많은데 뭇슨..

진짜 쓰다가 '뭔가 이상하다' 하고 감이 느껴져서 이거저거 다 뒤져보니 있는 경우는 있었지..

알툴즈는 존내 싫어하지만 저런 식으로 아집에 똘똘 뭉쳐서 자기 도우려던 사람까지 적으로 만들면 좀 곤란하지.. 알약이 뻥치는 것을 까는 것도 좋고, 소비자 입장에 서는 건 좋다 이겁니다. 근데 하지도 않은 짓을 했다고는 하지 말아야지. 프로그램이 뻥을 친다고 자기까지 뻥을 치면 좀 곤란하지.

지금까지 열심히 리뷰하고 가이드쓰고 독자적인 영역을 구축하느라 애쓴거 뻔히 아는데, 가끔씩 보이는 병맛나는 포스팅이라든지, 나 혼자 다 안다는 독선은 눈살이 찌푸려지는 것을 넘어서 안쓰럽게 보이게 합니다. 포스팅 하나 올리면 항상 인기글에 뜨는 양반이면 좀 책임감있는 글을 적어야 하지 않겠습니까?

이 글에서 까는 원본 글은 무료 백신 알약에 대한 의혹과 아쉬움. 입니다 :)
Posted by 알 수 없는 사용자

카테고리

분류 전체보기 (78)
까칠한 소리 (71)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

달력

«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

글 보관함