[보안과 해킹] HijackThis 가이드

카페 > Korea Anti-Viru.. / 아미루님
http://cafe.naver.com/kav/4567

소나무님이 좋은 사이트를 알려 주셨네요.

HijackThis 를 활용하는데 많은 도움이 될 것 같습니다.

HijackThis Tutorial & Guide





==========





HijackThis 개요

HijackThis 는 당신의 윈도우나 시스템이 이상 행동을 보일 때, 그것이?애드웨어나 스파이웨어로 인한 것이라는?의심이?들 경우,

그 유해?프로그램의 설치 유무를 쉽게 찾을 수 있도록 도와 주는 프로그램입니다.

 

이 도구를 사용해서 나오는 결과는, 그것이 반드시 유해한 경우에 한정되지 않고,?윈도우 내의?전반적인 상황을 한 눈에 볼 수 있게 해줌으로서 유해 프로그램을 가려내는데 도움을 주는, 보조적인 프로그램입니다.

 

따라서 이 도구를 사용해서 나온 결과를 판단할 수 있을 정도의 시스템과 윈도우에 대한 지식을 필요로 하므로,

전문가 또는 준전문가에게 애드웨어 혹은 스파이웨어 감염의 치료를 문의할 때, 이 도구를 주로 사용합니다.

 

아래에서는 위 링크된 사이트의 정보를?토대로, HijackThis 사용법을 알아 보도록 하겠습니다.

 

 

경고

 

이 도구를 사용하기 위해서는 시스템과 윈도우에 대한 자세한 지식을 가지고 있어야 합니다.

그렇지 않고 이 툴을 함부로 사용할 경우에는 시스템에 손상을 줄 수 있습니다.

 

따라서 HijackThis 를 주된 안티 스파이웨어 프로그램으로 사용하기 보다는 진단과 치료까지 한 번에 해결할 수 있는

다음과 같은 도구들을 먼저 사용하기를 추천합니다. (무료 치료 제품)

 

Ad-aware

 

Spybot Search & Destroy

 

Microsoft AntiSpyware

 

위 프로그램들을 사용했음에도 불구하고 증세가 호전되지 않을 경우, 이 툴을 사용하시기 바랍니다.

 

 

HijackThis 사용법

 

먼저 HijackThis?를 다운로드 받은 위치를 잘 기억하시기 바랍니다. 왜냐하면 이 도구는 인스톨 하지 않고 사용하기 때문입니다.

되도록 하나의 새로운 폴더를 만들어 두고 그 곳에 HijackThis 를 두기를 권합니다.

로그 파일을 만들거나 백업 파일을 만들 때, 도움이 될 것이기 때문입니다.

 

다운로드 받은 HijackThis 를 실행시키면 다음과 같은 화면이 뜰 것입니다.

? ?

위 화면이 뜨면, 먼저 파란색 박스의?'Don't show this frame again when I start HijackThis' 에 체크 하시기 바랍니다.

그리고 나서 빨간색 박스의 'None of the above, just start the program' 버튼을 누르세요.

 

그럼?아래와 같은 HijackThis 메인 화면이 나옵니다.

?

오른쪽 파란색 박스의 'Config' 버튼은?옵션을 구성하는 부분입니다.

왼쪽 빨간 박스의 'Scan' 은 이 도구의 주된 기능입니다.

 

오른쪽의 'Config' 버튼을 누르면 아래와 같은 화면이 나옵니다.

 

?

옵션을 선택한 후, 위 화면의 'Back' 버튼을 누르면 메인 화면으로 다시 이동합니다.

메인 화면의 'Scan' 버튼을 클릭하면, 아래와 같이 이 도구로 발견 가능한 목록이 뜹니다.

위에서도 언급했다시피 이 목록이 전부?유해 프로그램의 목록은 아닙니다.

이것은 HijackThis 라는 도구에 의해 검출 가능한 리스트인 것 입니다.

?

위 리스트를 보고 난감한 상황이라면, 위 화면 왼쪽 빨간 박스의 'Save Log' 버튼을 클릭하여 그 로그 파일을 자신이?알고 있는 곳에 저장 하세요. 그리고 저희 카페나 기타 다른 보안 관련 사이트에 질문을 할 때, 이 로그 파일을 첨부하세요.

그렇게 하면 훨씬 빠르고 정확하게 도움을 받을 수 있을 거예요.

 

검출된?목록 중에서?자세히 알고 싶은 부분이 있을 경우에는 해당 목록을 클릭한 후,

'Info on selected item...' 버튼을 누르면 확인할 수 있습니다.

 

?

충분한 지식이나 다양한 경로를 통해서 문제 있는 부분을 정확히 파악했다면, 해당 부분을 더블 클릭하거나 또는?앞에 네모 빈 칸에 체크를 한 후, 아래 파란 박스의 'Fix Checked' 버튼을 눌러서 그?선택된 부분을 제거할 수 있습니다.

 

? ?

잘못 삭제한 부분의 복원

 

HijackThis 에는 당신이 합법적인 것인데도 불구하고, 오인하여 삭제를 한 목록을 복원할 수 있도록 백업 과정이 마련 되어 있습니다.

 

우선 'Config' 버튼을 눌러 나오는 'Main' 옵션 설정 부분에서 'Make backups before fixing items' 에 체크가 되어 있다면,

HijackThis 는 Hijackthis.exe 와 같은 디렉토리 상에 backups 폴더를 만들 것 입니다.

 

'Config' 버튼 -> 'Backups' 버턴을 누르면 다음과 같은 화면이 나옵니다.

이곳에서 당신은 이전에 Fix 한 목록을 볼 수 있을 것이며, 이를 복원시킬 수도 있습니다.

 

? ?

자동 시작 프로그램 목록 생성하기

 

당신의 컴퓨터에는?부팅할 때마다 자동 시작하는 프로그램들이 많이 있을 것입니다.

이런 프로그램들의 목록을 생성하는 방법은 다음과 같습니다.

 

'Config' 버튼 -> 'Misc Tools' 버튼을 누르면 다음과 같은 화면이 나옵니다.

 

아래 빨간 박스의 'Generate StartupList Log' 버튼을 누르면 시작 프로그램의 상세한 리스트를?뽑아 줍니다.

?

 

프로세스 매니저

 

가동되고 있는 프로세스 목록을 보여주며, 프로세스 Kill 기능도 갖고 있습니다.

 

Config ->?Misc Tools ->?Open Process Manager

 

? ?

Hosts file manager

악성코드들이 주로 하는 행동 가운데 하나가 호스트 파일을 변경시키는 것입니다.

Hosts file manager 는 당신의 HOSTS 파일의 내역을 보여줍니다.

? ?

Delete on Reboot tool

 

파일 중에는 삭제되기를 완강히 거부하는 녀석들이 있습니다.

그 경우, 재부팅시 그 파일이 로드 되기 전에 삭제하는 방법을 사용한다고 합니다.

 

Config -> Misc Tools -> Delete a file on reboot... -> 열기 ->

Click on the Yes button if you would like to reboot now, otherwise click on the No button to reboot later.

 

 

ADS Spy

 

때때로 당신의 컴퓨터를 감염시키기 위해 Alternate Data Stream File 이라는 파일을 사용하는, Home Search Assistant?또는 CWS_NS3 이라는 것이 있기도 합니다. 이런 류의 것은 평범한 방법으로는 볼 수도, 삭제할 수도 없습니다.

ADS Spy 는 이런 타입의 파일을 제거하기 위해 고안된 것입니다.

 

'Scan' 버튼을 누르면 Alternate Data Streams 을 사용하는 파일이 있는지 검사합니다.

 

?

만일 어떤 것이 발견된다면 아래와 같이 표시될 것입니다.

'Remove selected' 버튼을 누르면 제거가 됩니다.

? ?

Uninstall Manager

 

프로그램을 삭제할 수 있는 기능을 제공합니다.

 

? ?

스캔 결과 분석하는 법

 

다음은 HijackThis 로 스캔한 결과를 분석하는 방법입니다.

만일 로그 내역을 보고 잘 모를 경우에는 저희 카페나 기타 보안 전문 사이트에 문의를 하시기 바랍니다.

함부로 수정할 경우, 시스템에 문제가 생길 수 있다는 점을 양지해 주시기 바랍니다.

 

HijackThis 의 각 섹션은 다음과 같습니다.

 

Section Name	Description
R0, R1, R2, R3	Internet Explorer Start/Search pages URLs
F0, F1, F2,F3	Auto loading programs
N1, N2, N3, N4	Netscape/Mozilla Start/Search pages URLs
O1	Hosts file redirection
O2	Browser Helper Objects
O3	Internet Explorer toolbars
O4	Auto loading programs from Registry
O5	IE Options icon not visible in Control Panel
O6	IE Options access restricted by Administrator
O7	Regedit access restricted by Administrator
O8	Extra items in IE right
O9	Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
O10	Winsock hijacker
O11	Extra group in IE 'Advanced Options' window
O12	IE plugins
O13	IE Default Prefix hijack
O14	'Reset Web Settings' hijack
O15	Unwanted site in Trusted Zone
O16	ActiveX Objects (aka Downloaded Program Files)
O17	Lop.com/Domain Hijackers
O18	Extra protocols and protocol hijackers
O19	User style sheet hijack
O20	AppInit_DLLs Registry value Autorun
O21	ShellServiceObjectDelayLoad
O22	SharedTaskScheduler
O23	Windows XP/NT/2000 Services

----------------------------------------------------------------------------------------------------------------

 

? O1 - 호스트 파일 변경

? O2 -?BHO (Browser Helper Objects) : 브라우저에?특정 기능 부가

? O4 - 자동 시작 프로그램

? O8 - Extra context menu item :?브라우저에서 오른쪽 마우스 클릭시 나타나는 메뉴에 설치된 항목

? O15 - Trusted Zone :?익스플로러의 신뢰할 수 있는 사이트 부분

? O16 - DPF (Downloaded Program Files) : ActiveX 설치 항목

? O18 - Protocol : FBJ's O18 List

? O23 - Service : 자동 로드되는 프로그램

 

 

각 섹션의 상세한 내용과 레지스트리 키는 원문을 참고하시기 바랍니다.

 

 

기타

 

HijackThis 로그 파일의 내용을 복사한 후, http://hjt.iamnotageek.com/?에 가셔서 빈칸에 붙여넣기 해 주시면,
유해성 여부를 판단하는데 도움이 되리라고 봅니다.

다만 유해한 것으로 나오는 결과도 절대적인 것은 아니니,

프로세스?검색 사이트나 구글을 이용해 상세 정보를 확인하고 나서 수정하도록 하세요.