레지스트리를 조사하다 보면 조금 이상한 키가 나온다. 바로 HKLM\SECURITY 키이다. 분명히 빈 키이지만 XP나 비스타를 설치하면 항상 생성된다. 내보내기를 하면 '내보낼 것이 없다'는 메시지를 띄우고 삭제를 하려고 하면 그림처럼 절대 삭제할 수 없다고 약을 올린다.

이 키는 어떤 용도로 쓰이는 키일까?

얼마전 신문에까지 나고 이슈화됐던 문제가 루트킷이었다. 루트킷은 사용자 모드가 아니라 커널 모드에서 동작, 실행중인 프로세스나 파일을 찾는 소프트웨어를 말한다. 그러나 최근 이러한 루트킷이 악성 프로그램이 자신을 숨기기위해 사용됨으로서 루트킷 문제가 불거졌다.

내가 예전에 쓴 팁, 사례분석을 통해 배우는 스파웨어 판정(I, II, III, IV)을 보면 알 수 있지만 이런 악성 프로그램은 반드시 실행 코드를 가지고 있어야 한다. 그래서 대부분의 악성 소프트웨어 제거 도구는 실행 코드를 찾기위해 레지스트리를 검색한다. 문제는 레지스트리에도 사용자 모드에서는 접근할 수 없는 숨은 키가 있다는 점이다. 따라서 RootkitRevealer나 처럼 레지스트리를 검색, 루트킷을 찾아주는 프로그램도 있고 루트킷을 심는 것을 막기위해 실행되는 모든 프로세스의 파일을 감시하는 AntiHook과 같은 프로그램도 있다.

오늘 소개하는 Registrar Registry Manager는 일종의 레지스트리 관리 종합 프로그램이다. 다만 이 프로그램을 루트킷과 함께 소개하는 이유는 바로 악성 소프트웨어가 루트킷을 실행할 때 많이 사용하는 숨은 레지스트리까지 찾을 수 있기 때문이다.

글쓴이

운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.