악성코드 분석 - autoruns 사용법

※ 주의 : 본 포스팅의 내용을 악용할 시 법적 문제를 야기할 수 있으므로, 반드시 법적 테두리 안에서 허용되는 경우에만 사용하시기 바랍니다.

Autoruns는 윈도우 시스템에서 부팅 후 자동으로 시작되는 시작프로그램이나 서비스들을 보여주고 관리하는 모니터링 프로그램입니다.

AutoRuns 프로그램을 실행 후 상단의 Everything 탭에서는 로그인 시 자동으로 실행되는 시작 레지스트리에 등록된 파일 목록, 시작 프로그램에 등록된 파일 목록등을 확인할 수 있습니다.

주요기능은 시작 프로세스 조사, 브라우저 도우미 개체, 윈도우 탐색기 쉘 확장 처리 기능 추가, 레지스트리 및 숨긴 영역에 저장된 모든 이미지를 확인할 수 있는 기능이 존재합니다.

1. 처음 실행하면 아래와 같은 화면으로 실행이 됩니다.

보시면 시작프로그램에 등록된것들이나 지금 실행되고 있는 프로그램에 대한 정보를 보여줍니다.

option -> Hide Microsoft Entrise 를 클릭하면 윈도우와 관련된 정상적인 정보는 숨긴 상태로 됩니다.

 

원하시는 프로그램을 검색하기 위해서는 Filter에서 검색하고 원하는 DLL, 프로세스 등 같은 방법으로 검색합니다.

 

1. Jump to Entry : 선택한 프로그램의 레지스트리 이동

2. Jump to Image : 선택한 프로그램이 설치된 절대 경로로 이동

3. Search Online : 선택한 프로그램을 구글 검색 엔진에서 검색

4. Process Exlorer : 선택한 프로그램을 process Explorer 프로그램 연결

5. Properties : 선택한 프로그램의 속성

 

- 악성코드 분석은 해당 프로그램을 실행하기전 상태를 저장하고 실행 후 F5(새로고침) 후에 위에서 보이는 compare로 비교를 수행합니다.

어떤 프로그램이 실행되는지와, 어떤 레지스트리가 등록되는지를 확인 할 수 있습니다.