홈페이지 » 학교 » 자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기

    자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기

    대부분의 괴짜들은 MS Config, CCleaner, Windows 8의 Task Manager 등 자동으로 시작되는 프로세스를 처리 할 수있는 도구를 갖추고 있습니다.하지만 그 중 어느 것도 Autoruns만큼 강력하지는 않습니다. 오늘.

    학교 이동
    1. SysInternals 도구 란 무엇이며 어떻게 사용합니까??
    2. 프로세스 탐색기 이해
    3. 프로세스 탐색기를 사용하여 문제 해결 및 진단
    4. 프로세스 모니터 이해
    5. 프로세스 모니터를 사용하여 레지스트리 해킹 문제를 해결하고 찾기
    6. 자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기
    7. BgInfo를 사용하여 데스크탑에 시스템 정보 표시
    8. PsTools를 사용하여 명령 줄에서 다른 PC 제어
    9. 파일, 폴더 및 드라이브 분석 및 관리
    10. 함께 포장하고 사용하기

    예전에는 소프트웨어가 시작 메뉴의 Startup 폴더에 항목을 추가하거나 레지스트리의 Run 키에 값을 추가하여 소프트웨어를 자동으로 시작하지만 사람들과 소프트웨어가 원하지 않는 항목을 찾아서 삭제할 때 더욱 정교 해짐에 따라 소프트웨어가 자동으로 시작됩니다 , 의문의 여지가있는 소프트웨어 제작자는 점점 더 교활 해지는 방법을 찾기 시작했습니다..

    이 그늘진 곳의 crapware 회사는 브라우저 도우미 개체, 서비스, 드라이버, 예약 된 작업을 통해 소프트웨어를 자동으로로드하는 방법을 알아 내기 시작했으며 이미지 하이재킹 및 AppInit_dll과 같은 매우 고급 기술을 통해서도 시작했습니다..

    이러한 각 조건을 수동으로 확인하는 것은 시간 소모적 일뿐만 아니라 평균적인 사람에게는 거의 불가능합니다..

    그것이 바로 Autoruns가오고 그 날을 저장하는 곳입니다. 물론 프로세스 탐색기를 사용하여 프로세스 목록을 살펴보고 스레드와 핸들을 자세히 조사 할 수 있으며 Process Monitor는 어떤 프로세스에서 어떤 레지스트리 키가 열려 있는지를 정확히 파악할 수 있으며 엄청난 양의 정보를 표시 할 수 있습니다. 하지만 어느 누구도 다음에 PC를 부팅 할 때 Crapware 또는 악성 코드가 다시로드되는 것을 막습니다..

    물론 현명한 전략은이 세 가지를 모두 사용하는 것입니다. 프로세스 탐색기는 현재 실행중인 내용과 CPU 및 메모리를 사용하는 것을 확인하고 Process Monitor는 응용 프로그램이 수행중인 작업을 확인한 다음 자동 실행 기능을 통해 작업을 정리합니다..

    자동 실행을 사용하면 컴퓨터에 자동으로로드되는 거의 모든 항목을 볼 수 있으며 확인란을 클릭하는 것만 큼 쉽게 비활성화 할 수 있습니다. 믿을 수 없을 정도로 사용하기 쉽고, 거의 자명하지 않습니다. 단, 탭의 일부가 실제로 의미하는 바를 이해하기 위해 알아야 할 몇 가지 복잡한 것들을 제외하고는. 그것이이 수업이 가르치는 것입니다..

    자동 실행 인터페이스 사용

    SysInternals 웹 사이트에서 Autoruns 도구를 가져 와서 나머지 도구처럼 설치하지 않고 실행할 수 있습니다. 계속하기 전에 그렇게하기를 원할 것입니다..

    노트 : 자동 실행은 관리자 권한으로 실행하지 않아도되지만 실제로는 제대로 작동하지 않는 몇 가지 기능이 있기 때문에 현실적으로이 기능을 사용하는 것이 가장 합리적입니다. 또한 멀웨어가 관리자로도 실행될 가능성이 큽니다..

    인터페이스를 처음 실행하면 컴퓨터에서 자동으로 시작되는 많은 탭과 목록이 표시됩니다. 기본 설정의 모든 탭에는 모든 탭의 모든 것이 표시되지만 다소 혼란스럽고 오래 걸릴 수 있으므로 각 탭을 따로 살펴 보도록 권장합니다..

    기본적으로 Autoruns는 Windows에 내장되어 있고 자동으로 시작되도록 설정된 모든 것을 숨 깁니다. 옵션에서 해당 항목을 표시 할 수 있지만 권장하지는 않습니다..

    항목 비활성화

    목록의 항목을 사용하지 않으려면 확인란을 제거하면됩니다. 그게 전부입니다. 목록을 살펴보고 필요없는 모든 것을 제거하고, 컴퓨터를 재부팅 한 다음, 다시 실행하여 모든 것이 잘되었는지 확인하십시오..

    노트 : 일부 맬웨어는 자동 시작을 트리거하는 위치를 지속적으로 모니터링하여 즉시 값을 다시 설정합니다. F5 키를 사용하여 다시 검색하고 항목을 사용하지 않도록 설정 한 후에 다시 항목이 있는지 확인할 수 있습니다. 그 중 하나가 다시 나타나면 프로세스 탐색기를 사용하여 해당 멀웨어를 일시 중지하거나 종료 한 다음 여기에서 비활성화해야합니다.

    색깔

    대부분의 SysInternals 도구와 마찬가지로 목록의 항목은 다른 색이 될 수 있으며 여기에 그 의미가 있습니다.

    • 담홍색 - 즉, 게시자 정보가 없거나 코드 확인이 켜져 있으면 디지털 서명이 없거나 일치하지 않거나 게시자 정보가 없음을 의미합니다.
    • 녹색 - 이 색상은 이전에 설정된 자동 실행 데이터와 비교할 때 사용되어 마지막에 없었던 항목을 나타냅니다.
    • 노랑 - 시작 항목이 있지만 해당 항목이 가리키는 파일이나 작업이 더 이상 존재하지 않습니다..

    또한 대부분의 SysInternals 도구와 마찬가지로 모든 항목을 마우스 오른쪽 단추로 클릭하고 항목 또는 이미지 (탐색기의 실제 파일)로 점프하는 등 여러 가지 작업을 수행 할 수 있습니다. 프로세스 이름이나 열의 데이터를 온라인에서 검색하거나 자세한 속성을 보거나 Process Explorer를 통해 빠른 검색을 통해 해당 항목이 실행되는지 확인할 수 있습니다. 많은 프로세스에 로더가있어 이전에 다른 이 기능이 결과를 보여주지 못하기 때문에 아무 것도 의미가 없습니다..

    항목으로 이동을 클릭하면 레지스트리 편집기로 직접 이동하여 특정 레지스트리 키를보고 둘러 볼 수 있습니다. 항목이 다른 항목 인 경우 작업 스케줄러와 같은 다른 유틸리티로 이동할 수 있습니다. 실제로 대부분의 경우 자동 실행은 인터페이스에 동일한 정보를 모두 표시하므로 더 많은 것을 배우고 싶지 않으면 일반적으로 신경 쓰지 않아도됩니다.

    사용자 메뉴를 사용하면 다른 사용자 계정을 분석 할 수 있습니다. 이는 동일한 컴퓨터의 다른 계정에 자동 실행을로드 한 경우 매우 유용합니다. PC의 다른 사용자 계정을 보려면 관리자 권한으로 실행해야합니다..

    코드 서명 확인

    필터 옵션 메뉴 항목은 매우 유용한 옵션 인 코드 서명 확인 옵션을 선택할 수있는 옵션 패널로 이동합니다. 이렇게하면 각 디지털 서명이 분석되고 검증되었는지 확인하고 결과를 창에 바로 표시합니다. 아래 스크린 샷에서 분홍색으로 표시된 모든 항목이 확인되지 않았거나 게시자 정보가 존재하지 않음을 알 수 있습니다..

    또한 추가 크레딧을 얻으려면 아래 스크린 샷이 분홍색으로 표시되지 않은 목록의 항목 중 일부를 제외하고는 처음 화면과 거의 동일하다는 것을 알 수 있습니다. 차이점은 기본적으로 Verify Code Signatures 옵션을 켜지 않은 상태에서 게시자 정보가 없으면 Autoruns는 분홍색 행만 경고한다는 것입니다.

    오프라인 시스템 분석 (하드 드라이브를 다른 PC에 연결)

    친구의 컴퓨터가 완전히 엉망이되어 부팅이되지 않거나 너무 느리게 부팅되어 실제로 사용할 수 없다고 상상해보십시오. 시스템 복원과 같은 안전 모드 및 복구 옵션을 시도했지만 사용할 수 없으므로 중요하지 않습니다..

    "그냥 포기하는"카드 인 "재설치"카드를 꺼내지 않고 하드 드라이브를 꺼내서 편리한 USB 하드 드라이브 독으로 PC 또는 랩톱에 연결할 수 있습니다. 당신은 하나 가지고 있습니까? 그런 다음 자동 실행을로드하고 파일 -> 오프라인 시스템 분석으로 이동합니다..

    찾아보기를 클릭하여 다른 하드 드라이브의 Windows 디렉토리와 진단하려는 사용자의 사용자 프로필을 찾은 다음 확인을 클릭하여 시작합니다..

    물론 드라이브에 대한 쓰기 권한이 있어야합니다. 왜냐하면 당신이 설정 한 내용을 저장하여 원하는 말도 안되는 것을 제거하기를 원하기 때문입니다.

    다른 PC와 비교 (또는 이전의 새로 설치)

    파일 -> 비교 옵션은 별다른 것으로 보이지 않지만 PC를 분석하고 마지막으로 스캔 한 이후 추가 된 내용을 확인하거나 알려진 클린 PC와 비교하는 가장 강력한 방법 중 하나 일 수 있습니다.

    이 기능을 사용하려면 검사하려는 PC에 자동 실행을로드하거나 앞에서 설명한 오프라인 모드를 사용하고 파일 -> 비교로 이동하십시오. 비교 된 파일 버전 이후에 추가 된 모든 항목이 밝은 녹색으로 표시됩니다. 그것만큼이나 간단합니다. 새 버전을 저장하려면 파일 -> 저장 옵션을 사용하십시오..

    정말로 프로가되고 싶다면 새로운 Windows 설치에서 깨끗한 구성을 저장하고 플래시 드라이브에 넣으면됩니다. 처음으로 PC를 터치 할 때마다 새 버전을 저장하여 소유자가 추가 한 모든 새로운 Crapware를 신속하게 확인할 수 있는지 확인하십시오.

    탭 살펴보기

    지금까지 본 것처럼 Autoruns는 거의 모든 사람이 사용할 수있는 매우 간단하지만 강력한 유틸리티입니다. 내 말은, 네가해야 할 일은 박스를 체크하지 않는 거지, 그렇지? 그러나 이러한 모든 탭의 의미에 대해 더 많은 정보를 얻는 것이 유용하기 때문에 여기에서.

    다음 페이지 : 로그온, 예약 된 작업 및 이미지 도용