레지스트리를 조사하다 보면 조금 이상한 키가 나온다. 바로 HKLM\SECURITY 키이다. 분명히 빈 키이지만 XP나 비스타를 설치하면 항상 생성된다. 내보내기를 하면 '내보낼 것이 없다'는 메시지를 띄우고 삭제를 하려고 하면 그림처럼 절대 삭제할 수 없다고 약을 올린다.

이 키는 어떤 용도로 쓰이는 키일까?

얼마전 신문에까지 나고 이슈화됐던 문제가 루트킷이었다. 루트킷은 사용자 모드가 아니라 커널 모드에서 동작, 실행중인 프로세스나 파일을 찾는 소프트웨어를 말한다. 그러나 최근 이러한 루트킷이 악성 프로그램이 자신을 숨기기위해 사용됨으로서 루트킷 문제가 불거졌다.

내가 예전에 쓴 팁, 사례분석을 통해 배우는 스파웨어 판정(I, II, III, IV)을 보면 알 수 있지만 이런 악성 프로그램은 반드시 실행 코드를 가지고 있어야 한다. 그래서 대부분의 악성 소프트웨어 제거 도구는 실행 코드를 찾기위해 레지스트리를 검색한다. 문제는 레지스트리에도 사용자 모드에서는 접근할 수 없는 숨은 키가 있다는 점이다. 따라서 RootkitRevealer나 처럼 레지스트리를 검색, 루트킷을 찾아주는 프로그램도 있고 루트킷을 심는 것을 막기위해 실행되는 모든 프로세스의 파일을 감시하는 AntiHook과 같은 프로그램도 있다.

오늘 소개하는 Registrar Registry Manager는 일종의 레지스트리 관리 종합 프로그램이다. 다만 이 프로그램을 루트킷과 함께 소개하는 이유는 바로 악성 소프트웨어가 루트킷을 실행할 때 많이 사용하는 숨은 레지스트리까지 찾을 수 있기 때문이다.

[자세히 보기]