카스퍼 스키 인터넷 보안으로 루트 키트 스캔을 실행하는 방법

최상의 결과를 얻으려면 모든 응용 프로그램을 종료하고 rootkitrevealer 스캔 프로세스 중에 시스템을 유휴 상태로 유지합니다.

제한과 경고

카스퍼 스키 애플리케이션에는 많은 비 임계 운영 한계가 있습니다.

특정 구성 요소 작동 및 파일 자동 처리 제한

키 포인트:

1. 감염된 파일 및 악성 링크는 Kaspersky 전문가가 만든 규칙에 따라 자동으로 처리됩니다.
2. 이 규칙을 수동으로 수정할 수 없습니다.
3. 데이터베이스 및 응용 프로그램 모듈을 업데이트 한 후 규칙을 업데이트 할 수 있습니다.
4. 방화벽, 웹캠 보호, 응용 프로그램 관리자 및 침입 방지 규칙은 자동으로 업데이트됩니다.
5. 장치에서 감지 된 파일은 확인없이 내 카스퍼 스키의 요청에 따라 자동으로 처리 할 수 ​​있습니다.

1. 감염된 파일 및 악성 링크는 Kaspersky 응용 프로그램에서 어떻게 처리됩니까??

감염된 파일 및 악성 링크는 Kaspersky 전문가가 만든 규칙에 따라 자동으로 처리됩니다. 이 규칙은 수동으로 수정할 수 없습니다.

2. 방화벽, 웹캠 보호, 응용 프로그램 관리자 및 침입 방지 규칙을 수정할 수 있습니다?

아니요, 이러한 구성 요소의 규칙은 자동으로 업데이트되며 수동으로 수정할 수 없습니다.

삼. 내 카스퍼 스키의 요청에 따라 자동으로 처리 된 장치에서 파일이 감지됩니까??

예, 장치에서 감지 된 파일은 확인없이 내 카스퍼 스키의 요청에 따라 자동으로 처리 할 수 ​​있습니다.

카스퍼 스키 보안 네트워크에 대한 연결 제한

키 포인트:

6. 응용 프로그램은 Kaspersky Security Network를 운영하는 동안 정보를 쿼리 할 수 ​​있습니다.
7. Kaspersky Security Network의 데이터를 검색 할 수없는 경우 응용 프로그램은 로컬 바이러스 백신 데이터베이스를 기반으로 결정을 내립니다.

4. Kaspersky 애플리케이션 쿼리 Kaspersky Security Network가 정보를 제공합니까??

예, 응용 프로그램은 운영 중 정보를 위해 Kaspersky Security 네트워크를 쿼리 할 수 ​​있습니다.

5. Kaspersky Security Network의 데이터를 검색 할 수 없다면 어떻게됩니까??

Kaspersky Security Network의 데이터를 검색 할 수없는 경우 응용 프로그램은 로컬 바이러스 백신 데이터베이스를 기반으로 결정을 내립니다.

시스템 감시자 기능의 한계

키 포인트:

8. 암호 (사용자 파일을 암호화하는 맬웨어)에 대한 보호에는 특정 제한 사항이 있습니다.
9. 임시 시스템 폴더는이 기능을 지원하는 데 사용됩니다.
10. 카스퍼 스키 애플리케이션을 닫거나 시스템 감시자 구성 요소를 비활성화하면 임시 파일이 자동으로 삭제됩니다.
11. Kaspersky 응용 프로그램의 비상 종료의 경우 임시 파일이 자동으로 삭제되지 않습니다.
12. 암호화에 대한 보호는 NTFS 파일 시스템과 함께 데이터 드라이브에있는 파일에 대해서만 제공됩니다.
13. 복원 할 수있는 파일 수는 하나의 암호화 프로세스 당 50을 초과 할 수 없습니다.
14. 파일에 대한 총 수정량은 100MB를 초과 할 수 없습니다.
15. 네트워크 인터페이스를 통해 시작된 파일 수정은 모니터링되지 않습니다.
16. EFS로 암호화 된 파일은 지원되지 않습니다.
17. 카스퍼 스키 응용 프로그램이 설치된 후 암호화에 대한 보호를 위해 컴퓨터를 다시 시작해야합니다.

6. 시스템 감시자 기능에 사용되는 임시 시스템 폴더는 무엇입니까??

임시 시스템 폴더는 암호 (사용자 파일을 암호화하는 맬웨어)에 대한 보호 기능을 지원하는 데 사용됩니다.

7. 카스퍼 스키 응용 프로그램에서 자동으로 삭제되는 임시 파일입니다?

예, 카스퍼 스키 응용 프로그램을 닫거나 시스템 감시자 구성 요소를 비활성화하면 임시 파일이 자동으로 삭제됩니다.

8. 카스퍼 스키 응용 프로그램의 비상 종료시 임시 파일은 어떻게 발생합니다?

Kaspersky 응용 프로그램의 비상 종료의 경우 임시 파일이 자동으로 삭제되지 않습니다. 임시 폴더를 수동으로 지우야합니다.

9. 카스퍼 스키의 암호화 자로부터 보호되는 파일?

암호화에 대한 보호는 NTFS 파일 시스템과 함께 데이터 드라이브에있는 파일에 대해서만 제공됩니다.

10. 카스퍼 스키에서 복원 할 수있는 파일 수에 대한 제한 사항은 얼마입니까??

복원 할 수있는 파일 수는 하나의 암호화 프로세스 당 50을 초과 할 수 없습니다.

11. Kaspersky에서 지원되는 파일에 대한 수정량은 얼마입니까??

파일에 대한 총 수정량은 100MB를 초과 할 수 없습니다. 이 한계를 초과하는 수정이있는 파일을 복원 할 수 없습니다.

12. Kaspersky에서 모니터링되는 네트워크 인터페이스를 통해 시작된 파일 수정입니다?

아니요, 네트워크 인터페이스를 통해 시작된 파일 수정은 Kaspersky에서 모니터링되지 않습니다.

13. Kaspersky에서 지원되는 EFS (암호화 파일 시스템)로 암호화 된 파일입니까??

아니요, EFS로 암호화 된 파일은 카스퍼 스키에서 지원되지 않습니다.

14. 카스퍼 스키를 설치 한 후 암호화 자로부터 보호 할 수 있도록 컴퓨터를 다시 시작해야합니까??

예, 카스퍼 스키 응용 프로그램이 설치된 후 암호화 자로부터 보호 할 수 있도록 컴퓨터를 다시 시작해야합니다.

암호화 된 연결 스캔 제한

키 포인트:

19. 암호화 된 연결 스캔은 TLS 1의 특정 확장을 지원하지 않습니다.0 프로토콜 및 이후 버전.
20. 이 프로토콜을 통한 연결은 제한 될 수 있습니다.
21. Kaspersky는 HTTPS/2 프록시 트래픽 처리를 지원하지 않습니다.
22. Kaspersky는 Quic 프로토콜에 대한 데이터 교환을 방지합니다.
23. Kaspersky는 해독 할 수있는 암호화 된 연결 만 모니터링합니다.
24. 응용 프로그램은 제외 목록에 추가 된 연결을 모니터링하지 않습니다 (네트워크 설정 창의 웹 사이트 링크).
25. 안전한 탐색, 안전한 돈 및 URL 어드바이저 구성 요소는 기본적으로 암호화 된 트래픽의 암호 해독 및 스캔을 수행합니다.
26. Kaspersky Practence Extension이 비활성화 된 경우 사용자가 Google Chrome 브라우저를 사용하는 동안 Kaspersky 응용 프로그램이 암호화 된 트래픽을 암호화합니다.
27. Kaspersky 애플리케이션은 인터넷 대신 웹 페이지 또는 로컬 캐시에서 웹 페이지 또는 그 요소를로드하는 경우 트래픽을 모니터링하지 않습니다.

15. 암호화 된 연결 스캔에서는 TLS 프로토콜의 확장이 지원되지 않습니다?

암호화 된 연결 스캔은 TLS 1의 특정 확장을 지원하지 않습니다.0 프로토콜 및 이후 버전.

16. 카스퍼 스키가 HTTPS/2 프록시 트래픽의 처리를 지원합니까??

아니요, Kaspersky는 HTTPS/2 프록시 트래픽 처리를 지원하지 않습니다.

17. Kaspersky는 Quic 프로토콜에 대한 데이터 교환을 방지합니까??

예, Kaspersky는 Quic 프로토콜을 통한 데이터 교환을 방지합니다.

18. 카스퍼 스키에서 기본적으로 암호화 된 트래픽의 암호 해독 및 스캔을 수행하는 구성 요소?

안전한 탐색, 안전한 돈 및 URL 어드바이저 구성 요소는 카스퍼 스키에서 기본적으로 암호화 된 트래픽의 암호 해독 및 스캔을 수행합니다.

19. 카스퍼 스키 애플리케이션이 크롬 브라우저에서 암호화 트래픽을 해독합니까??

예, 카스퍼 스키 응용 프로그램은 카스퍼 스키 보호 확장이 비활성화 된 경우 사용자가 Google 크롬 브라우저를 사용하는 동안 암호화 된 트래픽을 암호화합니다.

20. 브라우저가 인터넷 대신 로컬 캐시에서 웹 페이지 나 요소를로드하면 카스퍼 스키가 트래픽을 모니터링합니까??

아니요, Kaspersky 애플리케이션은 인터넷 대신 웹 페이지 또는 로컬 캐시에서 웹 페이지 또는 그 요소를로드하는 경우 트래픽을 모니터링하지 않습니다.

BAT 클라이언트를 스캔하는 데 제한이 암호화 된 연결

키 포인트:

23. Bat Mail 클라이언트는 자체 인증서 저장소를 사용합니다.
24. Kaspersky는 BAT 클라이언트와 서버간에 HTTPS 연결을 설정하는 데 사용되는 인증서를 식별합니다.
25. 이를 방지하려면 Bat Mail 클라이언트가 로컬 Windows 인증서 스토어와 함께 작동하도록 구성하십시오.

21. BAT 클라이언트 암호화 된 연결을 스캔 할 때 발생할 수있는 인증서 문제?

Kaspersky는 BAT 클라이언트와 서버간에 HTTPS 연결을 설정하는 데 사용되는 인증서를 식별합니다.

22. BAT 클라이언트 암호화 된 연결을 스캔 할 때 인증서 문제를 방지 할 수있는 방법?

인증서 문제를 방지하려면 Loc.

암호화 된 연결에 대한 제한 사항 스캔 제외

키 포인트:

26. 제외에 추가 된 웹 사이트와의 암호화 된 연결은 특정 구성 요소가 여전히 스캔 할 수 있습니다.
27. Anti-Banner, URL Advisor 및 Private Browsing 구성 요소는 암호화 된 연결을 계속 스캔 할 수 있습니다.
28. 안전한 돈과 안전한 브라우징 구성 요소는 제외에 추가 된 웹 사이트를 스캔하지 않습니다.

23. 제외에 추가 된 웹 사이트와 암호화 된 연결을 작성하여 스캔에서 완전히 제외됩니다?

아니요, 제외에 추가 된 웹 사이트와 암호화 된 연결은 여전히 ​​특정 구성 요소에서 스캔 할 수 있습니다.

24. 제외에 추가 된 웹 사이트와 암호화 된 연결을 계속 스캔 할 수있는 구성 요소?

안티-바너, URL 고문 및 개인 브라우징 구성 요소는 제외에 추가 된 웹 사이트와 암호화 된 연결을 계속 스캔 할 수 있습니다.

25. 안전한 돈과 안전한 탐색 구성 요소를 제외에 추가 된 웹 사이트를 스캔하십시오?

아니요, 안전한 돈과 안전한 탐색 구성 요소는 제외에 추가 된 웹 사이트를 스캔하지 않습니다.

백업 및 복원 제한

키 포인트:

29. 하드 드라이브 또는 컴퓨터를 교체 할 때는 백업 사본의 온라인 저장을 사용할 수 없습니다.
30. 백업 스토리지의 서비스 파일 편집으로 백업 데이터가 손실 될 수 있습니다.

26. 하드 드라이브 또는 컴퓨터를 교체 할 때 백업 사본의 온라인 저장에 어떤 영향?

하드 드라이브 또는 컴퓨터를 교체 할 때는 백업 사본의 온라인 저장을 사용할 수 없습니다.

27. 백업 스토리지의 서비스 파일을 편집 할 수 있으면 백업 데이터가 손실됩니다?

예, 백업 스토리지의 서비스 파일을 편집하면 백업 데이터가 손실 될 수 있습니다.

카스퍼 스키 인터넷 보안으로 루트 키트 스캔을 실행하는 방법

최상의 결과를 얻으려면 모든 응용 프로그램을 종료하고 rootkitrevealer 스캔 프로세스 중에 시스템을 유휴 상태로 유지합니다.

제한과 경고

카스퍼 스키 애플리케이션에는 많은 비 임계 운영 한계가 있습니다.

특정 구성 요소 작동 및 파일 자동 처리 제한

감염된 파일 및 악성 링크는 Kaspersky 전문가가 만든 규칙에 따라 자동으로 처리됩니다. 이 규칙을 수동으로 수정할 수 없습니다. 데이터베이스 및 응용 프로그램 모듈을 업데이트 한 후 규칙을 업데이트 할 수 있습니다. 방화벽, 웹캠 보호, 응용 프로그램 관리자 및 침입 방지 규칙도 자동으로 업데이트됩니다.

내 카스퍼 스키에서 장치 스캔이 시작되면 파일은 응용 프로그램에 지정된 규칙에 따라 자동으로 처리됩니다. 장치에서 감지 된 파일은 확인없이 내 카스퍼 스키의 요청에 따라 자동으로 처리 할 수 ​​있습니다.

카스퍼 스키 보안 네트워크에 대한 연결 제한

운영 중에 응용 프로그램은 정보를 위해 Kaspersky Security 네트워크를 쿼리 할 수 ​​있습니다. Kaspersky Security Network의 데이터를 검색 할 수없는 경우 응용 프로그램은 로컬 바이러스 백신 데이터베이스를 기반으로 결정을 내립니다.

시스템 감시자 기능의 한계

암호 (사용자 파일을 암호화하는 맬웨어)에 대한 보호는 다음과 같은 한계가 있습니다

• 임시 시스템 폴더는이 기능을 지원하는 데 사용됩니다. 임시 폴더가있는 시스템 드라이브에 임시 파일을 만들 수있는 디스크 공간이 충분하지 않은 경우 크립 터에 대한 보호는 제공되지 않습니다. 이 경우 응용 프로그램은 파일이 백업되지 않는다는 알림을 표시하지 않습니다 (보호 기능이 제공되지 않음).
• 카스퍼 스키 애플리케이션을 닫거나 시스템 감시자 구성 요소를 비활성화하면 임시 파일이 자동으로 삭제됩니다.
• Kaspersky 응용 프로그램의 비상 종료의 경우 임시 파일이 자동으로 삭제되지 않습니다. 임시 파일을 삭제하려면 임시 폴더를 수동으로 지우십시오. 그렇게하려면 런 윈도우를 열고 열린 필드 유형 %임시 임시 . 확인을 클릭하십시오 .
• 암호화에 대한 보호는 NTFS 파일 시스템과 함께 형식화 된 데이터 드라이브에있는 파일에 대해서만 제공됩니다.
• 복원 할 수있는 파일 수는 하나의 암호화 프로세스 당 50을 초과 할 수 없습니다.
• 파일에 대한 총 수정량은 100MB를 초과 할 수 없습니다. 이 한도를 초과하는 수정이있는 파일을 복원 할 수 없습니다.
• 네트워크 인터페이스를 통해 시작된 파일 수정은 모니터링되지 않습니다.
• EFS로 암호화 된 파일은 지원되지 않습니다.
• 카스퍼 스키 응용 프로그램이 설치된 후 암호화에 대한 보호를 위해 컴퓨터를 다시 시작해야합니다.

암호화 된 연결 스캔 제한

스캔 알고리즘 구현의 기술적 한계로 인해 암호화 된 연결 스캔은 TLS 1의 특정 확장을 지원하지 않습니다.0 프로토콜 및 이후 버전 (특히 NPN 및 ALPN). 이 프로토콜을 통한 연결은 제한 될 수 있습니다. SPDY 프로토콜 지원이 장착 된 브라우저는 연결이 설정된 서버가 SPDY를 지원하더라도 SPDY 대신 TLS 프로토콜을 사용하여 HTTP를 사용합니다. 이것은 연결 보안 수준에 영향을 미치지 않습니다. 서버가 SPDY 프로토콜 만 지원하고 HTTPS 프로토콜을 통해 연결을 설정하는 것이 불가능한 경우 응용 프로그램은 설정된 연결을 모니터링하지 않습니다.

Kaspersky는 HTTPS/2 프록시 트래픽 처리를 지원하지 않습니다. 응용 프로그램은 HTTP/2 프로토콜의 확장을 통해 전송되는 트래픽을 처리하지 않습니다.

Kaspersky는 Quic 프로토콜에 대한 데이터 교환을 방지합니다. 브라우저는 브라우저에서 Quic 프로토콜에 대한 지원이 활성화되어 있는지 여부에 관계없이 표준 전송 프로토콜 (TLS 또는 SSL)을 사용합니다.

Kaspersky는 해독 할 수있는 암호화 된 연결 만 모니터링합니다. 응용 프로그램은 제외 목록에 추가 된 연결을 모니터링하지 않습니다 (네트워크 설정 창의 웹 사이트 링크).

다음 구성 요소는 기본적으로 암호화 된 트래픽의 암호 해독 및 스캔을 수행합니다

• 안전한 탐색;
• 안전한 돈;
• URL 고문.

이 브라우저에서 Kaspersky Protection Extension이 비활성화되면 Kaspersky Application은 암호화 된 트래픽을 암호화합니다.

Kaspersky 애플리케이션은 인터넷 대신 웹 페이지 또는 로컬 캐시에서 웹 페이지 또는 그 요소를로드하는 경우 트래픽을 모니터링하지 않습니다.

BAT 클라이언트를 스캔하는 데 제한이 암호화 된 연결

BAT Mail 클라이언트는 자체 인증서 저장소를 사용하므로 Kaspersky 응용 프로그램은이 클라이언트와 서버간에 HTTPS 연결을 설정하는 데 사용되는 인증서를 식별합니다. 이런 일이 발생하지 않도록 Bat Mail 클라이언트가 로컬 Windows 인증서 스토어와 함께 작동하도록 구성하십시오.

암호화 된 연결에 대한 제한 사항 스캔 제외

제외에 추가 된 웹 사이트와 암호화 된 연결을 스캔 할 때는 안티 밴너, URL 어드바이저 및 개인 브라우징과 같은 특정 구성 요소가 암호화 된 연결을 계속 스캔 할 수 있습니다. 안전한 돈과 안전한 브라우징 구성 요소는 제외에 추가 된 웹 사이트를 스캔하지 않습니다.

백업 및 복원 제한

백업 및 복원에는 다음과 같은 제한 사항이 적용됩니다

• 하드 드라이브 또는 컴퓨터를 교체 할 때는 백업 사본의 온라인 저장을 사용할 수 없습니다. 하드웨어 교체 후 온라인 스토리지 연결을 복원하는 방법에 대한 정보는 Kaspersky 기술 지원 웹 사이트를 방문하십시오.
• 백업 스토리지의 서비스 파일 편집은 백업 스토리지에 대한 액세스를 잃고 데이터를 복원 할 수 없게 만들 수 있습니다.
• 애플리케이션은 시스템 섀도 복사 서비스를 통해 백업되므로 오프라인 Outlook 데이터 파일 (.OST)는 백업 세트에 포함되지 않기 때문에 백업 세트에 포함되지 않습니다.

비밀 금고 기능의 한계

FAT32 파일 시스템에서 비밀 금고가 생성되면 드라이브의 비밀 금고 파일의 크기가 4GB를 초과해서는 안됩니다.

보호 된 브라우저 모드에서 루트 키트에 대한 커널 메모리 스캔 세부 사항

보호 된 브라우저 모드에서 신뢰할 수없는 모듈이 감지되면 맬웨어 감지에 대한 알림과 함께 새로운 브라우저 탭이 열립니다. 이런 경우 브라우저를 종료하고 컴퓨터의 전체 스캔을 실행하는 것이 좋습니다.

클립 보드 데이터 보호의 세부 사항

Kaspersky 응용 프로그램을 사용하면 응용 프로그램이 다음 경우 클립 보드에 액세스 할 수 있습니다

• 활성 창이있는 응용 프로그램은 클립 보드에 데이터를 배치하려고 시도합니다. 활성 창은 현재 사용중인 창입니다.
• 응용 프로그램의 신뢰할 수있는 프로세스는 클립 보드에 데이터를 배치하려고 시도합니다.
• 응용 프로그램의 신뢰할 수있는 프로세스 또는 활성 창이 클립 보드에서 데이터를 수신하려는 프로세스.
• 클립 보드에 이전에 데이터를 배치 한 응용 프로그램 프로세스는 클립 보드 에서이 데이터를 수신하려고합니다.

응용 프로그램 구성 요소에 의한 감염된 파일 처리의 세부 사항

기본적으로 응용 프로그램은 소독 할 수없는 감염된 파일을 삭제할 수 있습니다. 기본적으로 제거는 침입 방지, 메일 안티 바이러스, 파일 안티 바이러스, 스캔 작업 중 및 시스템 감시자가 응용 프로그램의 악의적 인 활동을 감지 할 때 파일 처리 중에 파일 처리 중에 수행 할 수 있습니다.

엔드 포인트에 대한 Kaspersky 사기 예방과 함께 응용 프로그램 설치의 경우 특정 구성 요소에 적용 가능한 제한 사항

다음 카스퍼 스키 애플리케이션 구성 요소의 작동은 엔드 포인트에 대한 카스퍼 스키 사기 예방과 함께 애플리케이션을 설치하는 경우 보호 브라우저에서 제한됩니다

• 안티 피싱을 제외한 안전한 탐색;
• URL 고문
• 반 바너

Autorun 프로세스 작업의 세부 사항

Autorun 프로세스는 작동 결과를 기록합니다. 데이터는 이름이 지정된 텍스트 파일로 기록됩니다 “KL-AUTORUN-.통나무”. 데이터를 보려면 런 윈도우를 열고 열린 필드 유형 % temp %에서 확인을 클릭하십시오 .

모든 트레이스 파일은 자동 실행 프로세스 작업 중에 다운로드 된 설정 파일로 저장됩니다. 데이터는 Autorun 프로세스 작동 기간 동안 저장 되고이 프로세스가 종료 될 때 영구적으로 삭제됩니다. 데이터는 어디서나 전송되지 않습니다.

장치 가드 모드가 활성화 된 Microsoft Windows 10 RS4의 Kaspersky 응용 프로그램 제한

다음 기능의 작동은 부분적으로 제한적입니다

• 클립 보드 보호
• 키보드 및 마우스 입력 에뮬레이터로부터의 브라우저 보호 (입력 스푸핑)
• 원격 관리 응용 프로그램으로부터 보호
• 브라우저 보호 (API를 통한 관리, 위험한 메시지를 사용하는 공격으로부터의 보호, 메시지 대기열 관리로부터 보호)
• 휴리스틱 분석 (악성 응용 프로그램의 시작의 에뮬레이션)

Windows에서 UMCI 모드가 활성화되면 Kaspersky 응용 프로그램은 화면 사물함을 감지하지 않습니다.

최종 사용자 라이센스 계약 및 Kaspersky Security Network와 관련된 Windows 이벤트 로그에서 이벤트 로깅 정보

최종 사용자 라이센스 계약의 조건을 수락하고 거부하고 Kaspersky Security Network에 대한 참여 수락 및 감소와 관련된 이벤트는 Windows 이벤트 로그에 기록됩니다.

카스퍼 스키 보안 네트워크의 로컬 주소 평판 확인 제한

카스퍼 스키 보안 네트워크에서 로컬 리소스에 대한 링크는 스캔되지 않습니다.

정보를 수집하는 응용 프로그램에 대한 경고

정보를 수집하고 처리하도록 보내는 응용 프로그램이 컴퓨터에 설치되는 경우 Kaspersky 응용 프로그램 이이 응용 프로그램을 악성 코드로 분류 할 수 있습니다. 이를 피하려면이 문서에 설명 된대로 Kaspersky 응용 프로그램을 구성하여 응용 프로그램을 스캔하지 못하게 할 수 있습니다.

응용 프로그램 설치 보고서 작성에 대한 경고

응용 프로그램이 컴퓨터에 설치 될 때 설치 보고서 파일이 작성됩니다. 오류로 애플리케이션 설치가 완료되면 설치 보고서 파일이 저장되고 Kaspersky 기술 지원으로 보낼 수 있습니다. 응용 프로그램 창에서 링크를 클릭하여 설치 보고서 파일의 내용을 볼 수 있습니다. 응용 프로그램이 성공적으로 설치된 경우 Computer에서 즉시 설치 보고서 파일이 삭제됩니다.

Microsoft Windows 10 Anniversary Update (Redstone 1) 운영 체제의 웹캠 제어 제한

Microsoft Windows 10 Anniversary Update (Redstone 1) 운영 체제에 응용 프로그램을 설치 한 후 컴퓨터가 다시 시작될 때까지 웹캠 액세스 제어가 보장되지 않습니다.

백업 사본에서 온라인 백업 및 데이터 복원 제한

Kaspersky 백업 작업을 동시에 실행할 수 없으며 Kaspersky는 동일한 컴퓨터에서 유틸리티 데이터 복구 작업을 복원합니다.

방화벽은 제어 된 응용 프로그램에 의해 설치된 로컬 연결을 제어하지 않습니다.

침입 방지 성분의 한계

Veracrypt가 컴퓨터에 설치된 경우 침입 방지 구성 요소로 작업 할 때 카스퍼 스키 응용 프로그램이 종료 될 수 있습니다. 이 문제를 해결하려면 Veracrypt를 버전 1으로 업그레이드하십시오.19 이상.

Microsoft Windows 7에서 Microsoft Windows 10으로 업그레이드 한 후 처음으로 응용 프로그램이 시작된 제한 사항

Microsoft Windows 7을 Microsoft Windows 8 / 8로 업그레이드 한 경우.1 또는 Microsoft Windows 10 / Rs1 / Rs2 / Rs3에서 Kaspersky 응용 프로그램은 처음 시작할 때 다음과 같은 한계로 작동합니다

• 파일 안티 바이러스 (실시간 보호) 만 실행 중입니다. 다른 응용 프로그램 구성 요소가 실행되지 않습니다.
• 파일과 시스템 레지스트리의 자체 방어가 실행 중입니다. 프로세스의 자기 방어는 실행되지 않습니다.
• 컴퓨터를 다시 시작할 때까지 응용 프로그램 인터페이스를 사용할 수 없습니다. 응용 프로그램에는 일부 애플리케이션 구성 요소가 실행되지 않으며 새로운 운영 체제에 적응이 완료된 후에 컴퓨터를 다시 시작해야한다는 알림이 표시됩니다.
• 알림 영역의 응용 프로그램 아이콘의 컨텍스트 메뉴에서 출구 옵션 만 사용할 수 있습니다.
• 응용 프로그램은 알림을 표시하지 않으며 권장 조치를 자동으로 선택합니다.

오류에 대한 경고 응용 프로그램 드라이버에 대한 경고 운영 체제를 Windows 7에서 Windows 10으로 업그레이드 할 때

Wind. 드라이버는 백그라운드에서 조정되어있어 진행 상황에 대한 알림을받지 못합니다.

드라이버에 적응하는 오류가 있으면 응용 프로그램의 다음 기능을 사용할 수 없습니다

• 방화벽
• 운영 체제가로드되는 동안 위협 감지
• Microsoft Corporation의 PPL (Protected Process Light) 기술을 사용하여 응용 프로그램 프로세스 보호

다음 방법을 사용하여 오류를 수정할 수 있습니다

• 통지 센터의 알림에서 컴퓨터를 다시 시작하고 응용 프로그램 적응을 다시 시작합니다.
• 응용 프로그램을 제거하고 다시 설치하십시오.

내 네트워크 구성 요소 기능 사용 제한의 장치

시스템 레지스트리에서 이더넷 네트워크 설정을 변경하면 네트워크 구성 요소의 장치가 감지 된 Wi-Fi 네트워크 목록에 이더넷 네트워크를 표시 하고이 네트워크에 연결된 장치를 표시 할 수 있습니다.

Mozilla Firefox 브라우저에서 HTTPS를 통해 전송 된 스캔 트래픽 제한

Mozilla Firefox 58에서.X 및 이후 버전에서는 브라우저 설정 수정이 기본 비밀번호로 보호되는 경우 응용 프로그램이 HTTPS 프로토콜을 통해 전송되는 트래픽을 스캔하지 않습니다. 브라우저에서 기본 비밀번호가 감지되면 응용 프로그램은 지식 기반의 기사에 대한 링크가 포함 된 알림을 표시합니다. 이 기사에는이 문제 해결에 대한 지침이 포함되어 있습니다.

HTTPS 트래픽을 모니터링하지 않으면 다음 구성 요소의 작동이 제한됩니다

• 안전한 탐색;
• 사칭 방지;
• 부모의 통제;
• 개인 정보 보호;
• 반 바너;
• 안전한 데이터 입력;
• 안전한 돈

Google Chrome 및 Mozilla Firefox의 Kaspersky Protection 확장 제한

컴퓨터에 Windows를 설치하는 MalwareBytes가있는 경우 Kaspersky Protection Extension은 Google Chrome 및 Mozilla Firefox에서 작동하지 않습니다.

Microsoft Windows 7 서비스 팩 0 및 서비스 팩 1에 응용 프로그램을 설치할 때 특별 고려 사항 1

SHA256 디지털 서명으로 인증서를 지원하지 않는 운영 체제에 응용 프로그램을 설치할 때 응용 프로그램은 자체 신뢰할 수있는 인증서를 설치합니다.

카스퍼 스키 응용 프로그램의 자동 테스트에 대해

Kaspersky Application을 포함한 Kaspersky Lab 응용 프로그램에는 응용 프로그램 기능의 자동 테스트를위한 특수 API (응용 프로그램 프로그래밍 인터페이스)가 있습니다. 이 API는 Kaspersky 개발자 만 사용하기위한 것입니다.

카스퍼 스키 인터넷 보안으로 루트 키트 스캔을 실행하는 방법

Run 명령을 사용하여 Kaspersky Internet Security를 ​​사용하여 Rootkit 스캔을 시작할 수 있습니다. 당신은 또한 프로그램의 총 보안 버전에 이것을 사용합니다. RUN 명령은 프로그램 데이터 파일을 통해 스캔을 수동으로 활성화하여 작동합니다.

1. Windows 시작 메뉴를 열고 검색하십시오 “달리다”, 그런 다음 실행 앱을 엽니 다.

2. 다음 텍스트를 실행 응용 프로그램에 입력하십시오. 견적 마크를 포함하십시오.
“%programfiles (x86)%\ Kaspersky Lab \”

삼. 새 폴더가 열립니다. 카스퍼 스키 보안 폴더를 찾아서 기록하십시오. 이것은 총 보안 또는 인터넷 보안입니다.

4. 실행 응용 프로그램을 다시 열고 방금 찾은 폴더 대상을 추가하십시오.
“%프로그램 파일 (x86)%\ 카스퍼 스키 실험실 \ 카스퍼 스키 총 보안 20.0 \ “

5. AVP 추가.마지막 인용 마크 앞에 com.

6. 그러면 공간으로 마무리하십시오 “scan_qscan을 시작하십시오”, 견적 표시없이.
“%프로그램 파일 (x86)%\ 카스퍼 스키 실험실 \ 카스퍼 스키 총 보안 20.0 \ avp.com “STARE SCAN_QSCAN을 시작합니다

7. 누르다 “좋아요” 그것이 작동하는 것을 테스트합니다. 명령 프롬프트 창이 시작되고 Kaspersky는 Rootkit 스캔을 실행하기 시작합니다.

실행 응용 프로그램은 루트 키트 스캔 활성화 텍스트를 저장합니다. 삭제하거나 시스템 복원을하지 않으면 거기에 남아 있습니다. 나중에 사용하기 위해 저장할 수있는 텍스트 문서에 실행 명령을 복사하여 붙여 넣는 것이 좋습니다.

카스퍼 스키 루트 키트 스캔은 무엇입니까??

Rootkit 스캔은 시스템에서 루트 키트 만 찾는 특수 스캔입니다. 제한되어 있기 때문에 시간이 훨씬 적고 시스템에 부담이 적습니다.

루트 키트는 무엇입니까??

rootkits는 파일에 숨어 있고 시스템 기능을 가로 채는 맬웨어 유형입니다. 장치에 원격으로 액세스 할 수 있도록 백그라운드에 더 많은 도구를 설치할 수 있습니다. 그들은 일반적으로 꽤 악의적이며 감염되면 즉시 제거해야합니다.

루트 키트 스캔을 얼마나 자주 실행해야합니까??

카스퍼 스키는 스타트 업 직후 매일 루트 키트 스캔을 실행합니다. 이것은 보호를 극대화하는 데 도움이되는 기본 설정입니다. 시스템이 맬웨어를 깨끗하게하는지 확인하기 위해 매일 실행하도록하는 것이 좋습니다.대부분의 사용자에게는 기본 일정이 적합해야합니다.

고위험 환경 (안전하지 않은 웹 사이트 방문 및 정기적으로 다운로드)에 있다면 더 자주 스캔하는 것이 좋습니다. Rootkit 스캔을 수동으로 시작하거나 전체 스캔을 사용할 수 있습니다.

루트 키트 스캔 얼마나 걸립니까??

Rootkit은 컴퓨터의 중요한 파일을 통해서만 검색을 스캔합니다. 이것은 프로세스 속도를 높이고 최적의 일일 배경 스캔으로 만듭니다. 대부분의 사용자는 15 분 이내에 스캔이 완료되어야합니다.

카스퍼 스키에서 루트 키트 스캔을 비활성화하는 방법

성능 설정을 통해 자동 루트 키트 스캔을 비활성화 할 수 있습니다.이거’당신이 아니라면, 권장’다시 전체 스캔을 실행하고 있습니다.

1. 인터넷 또는 총 보안 인 Kaspersky 버전을 엽니 다.

2. COG 아이콘을 통해 설정을 선택하십시오.

삼. 카테고리에서 성능을 선택하십시오.

4. 말하는 옵션을 선택 취소하십시오 “시스템에서 악성 프로그램의 흔적을 숨기려는 소프트웨어 검색 (Rootkits)”.

전체 스캔을 실행하면 루트 키트 스캔을 실행해야합니까??

당신은 돈입니다’이미 Kaspersky Internet Security로 전체 스캔을 실행 한 경우 Rootkit 스캔을 실행해야합니다. 전체 스캔은 루트 키트 및 기타 많은 악성 감염을 검색합니다.

카스퍼 스키 전체 스캔은 무엇입니까??

전체 스캔은 컴퓨터의 모든 파일을 통해 더 자세한 검색입니다. 악의적이거나 제자리를 찾는 것을 찾고 있습니다. Kaspersky는 더 높은 비율의 CPU를 사용하여 전체 스캔을 효율적으로 실행합니다. 하나가 실행 중에도 컴퓨터의 성능이 크게 감소 할 수 있습니다. 성능이 유지되도록합니다’t 사용을 방해합니다’시스템에 다시는 아닙니다.

전체 스캔을 얼마나 자주 실행해야합니까??

대부분의 사용자는 적어도 일주일에 한 번 카스퍼 스키 전체 스캔을 실행해야합니다. 시스템이 손상되었다고 생각되면 가능한 한 빨리 전체 스캔을 실행하는 것이 좋습니다. 위험이 높은 환경에 있다면 매일 또는 격일로 스캔을 실행해야합니다.

Kaspersky Total Security 및 Internet Security로 매일 실행하도록 전체 스캔을 예약 할 수 있습니다. 그러나 이것은보다 강력한 시스템이나 장치가있을 때만 권장됩니다’사용 중.

전체 스캔 시간이 얼마나 걸립니까??

전체 스캔이 걸리는 시간은 다양합니다. 고성능 컴퓨터에서 스캔은 보통 10 분에서 1 시간 사이에 지속됩니다. 성능이 낮은 장치는 완료하는 데 몇 시간이 걸릴 수 있습니다.

스캔 프로세스는 컴퓨터의 모든 파일을 검색합니다. 하드 드라이브의 파일이 많을수록 카스퍼 스키가 더 많은 파일을 스캔해야합니다. 이것은 장치의 문서가 적을수록 스캔이 더 빨리.

이 프로그램은 CPU를 사용하여 실행됩니다. 당신이 종종 더 빨리 달릴 것입니다’스캔이 실행되는 동안 다른 응용 프로그램을 사용하지 않습니다. 현대 CPU는 필요한 카스퍼 스키 스캔을 실행하는 동안 멀티 태스킹을 더 잘 처리 할 수 ​​있습니다.

마지막 생각들

Kaspersky Rootkit 스캔 기능은 맬웨어에 대한 훌륭한 보호 기능을 제공합니다. 백그라운드에서 몇 분 안에 수행 할 수있는 좋은 매일 스캔 역할을합니다. 루트 키트 스캔이 매일 발생하고 수동으로 스캔하는 것이 좋습니다’보안에 대해 불확실합니다.

표준 Rootkit 스캔은 최적이지만 전체 스캔을 대체하는 것은 아닙니다. Kaspersky는 여전히 가능한 한 자주 전체 스캔을 실행할 수 있도록해야합니다. 이것은 수동으로 활성화되거나 예약 될 수 있습니다. 그것’s는 Kaspersky가 제공하는 Rootkit 및 전체 스캔 기능을 모두 사용하는 것이 좋습니다.

카스퍼 스키의 무료 TDSSKILLER는 루트 키트를 파헤칩니다

최근에 나는 심각한 불쾌한 악성 코드에서 시어머니의 노트북을 구출하는 데 시간을 보냈습니다. Malwarebytes Anti-Malware와 같은 유틸리티를 실행 한 후에도 시스템의 누락 된 아이콘과 폴더를 복원하기 위해 HISE를 사용하여 웹 브라우저를 납치했습니다. Internet Explorer 또는 Firefox (FYI의 최신 버전)에서 링크를 클릭 할 때마다 악성 코드의 일부 코드는 브라우저를 피싱 사이트로 리디렉션합니다. 간단히 말해서 납치되고 있으며 매우 실망 스럽습니다.

두 브라우저 모두에서 발생했기 때문에 단지 도적 플러그인이나 도구 모음보다 더 깊은 문제가 있다는 것을 알았습니다. 최고의 추측 : 루트 키트, 정상적인 탐지 방법에서 자체적으로 숨길 수있는 맬웨어 형태. 그리고 물론, IDG News가 다른 날에보고 한 바와 같이, 일부 WordPress 구동 블로그에 의해 배포되고있는 것은 악명 높은 TDS였습니다. 이 노트북은 겉보기에 무해한 웹 사이트를 방문하면 감염되었을 수 있습니다.

일반적인 맬웨어 클리너가 실패하면 어떻게 TDS를 추방합니까?? 카스퍼 스키의 무료 TDSSKILLER가 저를 위해 일했습니다. 결국. 처음 다운로드하여 유틸리티를 실행했을 때 아무 일도 일어나지 않았습니다. 인터페이스가 나타나지 않았으므로 스캔을 시작할 수 없었습니다. TDSS는 너무 불쾌한 것으로 밝혀졌습니다. 다행히도 Kaspersky는 트릭을 수행 한 업데이트 된 버전을 게시했습니다.

TDS를 다시 지옥으로 보냈을 때 브라우저 납치가 중지되었습니다. 물론 마일리지가 다를 수 있지만 다른 조치를 시도하고 시스템이 여전히 감염 증상을 보이면 TDSSKILLER가 필요한 최종 접종 일 수 있습니다.

참고 : 다운로드 버튼은 최신 버전의 소프트웨어를 다운로드 할 수있는 공급 업체 사이트로 이동합니다.

• 가장 강력한 사이버 보안 회사
• 7 개의 뜨거운 사이버 보안 트렌드 (및 2 개가 추워지기)
• Apache Log4J 취약점 : 타임 라인
• NIST 사이버 보안 프레임 워크를 사용하여 조직 위험을 해결합니다
• 11 침투 테스트 도구 전문가가 사용합니다

• 사이버 범죄
• 바이러스 백신
• 맬웨어
• 보안
• 엔터프라이즈 애플리케이션
• 유용
• 카스퍼 스키 실험실

Rick Broida는 20 년 이상 Amigas에서 비즈니스 서버, PalmPilots에 이르기까지 모든 기술에 대해 글을 썼습니다. 그의 크레딧에는 수십 권의 책, 블로그 및 잡지가 포함됩니다. 그는 베개 아래에 iPad와 함께 자고 있습니다.

Copyright © 2012 IDG Communications, Inc.

Rootkitrevealer v1.71

rootkitrevealer를 다운로드하십시오 (231 KB)
지금 실행하십시오 Sysinternals에서 살고 있습니다.

소개

RootKitrevealer는 고급 루트 키트 감지 유틸리티입니다. Windows XP (32 비트) 및 Windows Server 2003 (32 비트)에서 실행되며 출력은 사용자 모드 또는 커널 모드 Rootkit의 존재를 나타내는 레지스트리 및 파일 시스템 API 불일치를 나열합니다. RootKitRevealer는 AFX, Vanquish 및 HackerDefender를 포함한 많은 지속적인 Rootkits를 성공적으로 감지합니다 (참고 : RootKitRevealer는 파일이나 레지스트리 키를 숨기려고하지 않는 FU와 같은 Rootkits를 감지하기위한 것이 아닙니다). 루트 키트의 존재를 식별하는 데 사용한다면 알려주십시오!

더 이상 명령 줄 버전이없는 이유는 맬웨어 저자가 실행 파일 이름을 사용하여 RootKitrevealer의 스캔을 목표로하기 시작했기 때문입니다. 따라서 Windows 서비스로 실행되는 무작위로 명명 된 사본에서 스캔을 실행하도록 RootKitRevealer를 업데이트했습니다. 이 유형의 실행은 명령 줄 인터페이스에 도움이되지 않습니다. 명령 줄 옵션을 사용하여 파일에 로그인 한 결과로 자동 스캔을 실행할 수 있습니다. 이는 명령 줄 버전의 동작과 동일합니다.

루트 키트는 무엇입니까??

Rootkit이라는 용어는 바이러스, 스파이웨어 및 트로이 목마를 포함한 악성 코드가 스파이웨어 차단기, 바이러스 백신 및 시스템 관리 유틸리티에서 자신의 존재를 숨기려고 시도하는 메커니즘과 기술을 설명하는 데 사용됩니다. 맬웨어가 재부팅에서 살아남은지 및 사용자 모드 또는 커널 모드에서 실행되는지 여부에 따라 몇 가지 루트 키트 분류가 있습니다.

지속적인 루트 키트
지속적인 루트 키트는 시스템 부츠마다 활성화되는 맬웨어와 관련된 것입니다. 이러한 맬웨어에는 각 시스템이 자동으로 실행되거나 사용자가 로그인 할 때 자동으로 실행 해야하는 코드가 포함되어 있으므로 레지스트리 또는 파일 시스템과 같은 지속적인 스토어에 코드를 저장하고 사용자 중재없이 코드가 실행하는 방법을 구성해야합니다.

메모리 기반 루트 키트
메모리 기반 루트 키트.

사용자 모드 루트 키트
Rootkits가 감지를 피하려고 시도하는 많은 방법이 있습니다. 예를 들어, 사용자 모드 RootKit은 모든 통화를 Windows FindFirstFile/FindNextFile API로 가로채는데, 이는 파일 시스템 디렉토리의 내용을 열거하기 위해 Explorer 및 명령 프롬프트를 포함한 파일 시스템 탐색 유틸리티에서 사용하는 FindFirstFile/FindNextFile APIS가 가능합니다. 응용 프로그램이 Rootkit과 관련된 파일을 식별하는 항목을 포함하는 결과를 반환하는 디렉토리 목록을 수행하는 경우 Rootkit은 항목을 제거하여 출력을 수정합니다.

Windows Native API는 사용자 모드 클라이언트와 커널 모드 서비스 간의 인터페이스 역할을하며보다 정교한 사용자 모드 루트 키트 인터셉트 파일 시스템, 레지스트리 및 기본 API의 프로세스 열거 기능. 이것은 Windows API 열거의 결과를 기본 API 열거에 의해 반환 한 결과를 비교하는 스캐너에 의한 감지를 방지합니다.

커널 모드 루트 키트
커널 모드 루트 키트는 커널 모드에서 기본 API를 가로 채울 수있을뿐만 아니라 커널 모드 데이터 구조를 직접 조작 할 수 있기 때문에 더욱 강력 할 수 있습니다. 맬웨어 프로세스의 존재를 숨기는 일반적인 기술은 커널의 활성 프로세스 목록에서 프로세스를 제거하는 것입니다. 프로세스 관리 API는 목록의 내용에 의존하기 때문에 맬웨어 프로세스는 작업 관리자 또는 프로세스 탐색기와 같은 프로세스 관리 도구에 표시되지 않습니다.

Rootkitrevealer의 작동 방식

API를 사용한 시스템보기가 스토리지의 실제보기와 다르도록 API 결과를 변경하여 지속적인 Rootkits가 작동하기 때문에 RootKitrevealer. 최고 수준은 Windows API이고 가장 낮은 레벨은 파일 시스템 볼륨 또는 레지스트리 하이브의 원시 내용입니다 (Hive 파일은 레지스트리의 디스크 스토리지 형식입니다). 따라서 사용자 모드 또는 커널 모드에 관계없이 Windows API 또는 Native API를 조작하여 디렉토리 목록에서 존재를 제거하는 RootKits는 Windows API가 반환 한 정보와 FAT 또는 NTF 볼륨의 파일 시스템 구조의 원시 스캔에서 볼 수있는 정보 간의 불일치로 표시됩니다.

루트 키트가 rootkitrevealer에서 숨길 수 있습니다
이론적으로 Rootkit이 RootKitrevealer에서 숨길 수 있습니다. 그렇게하면 RootKitrevealer의 레지스트리 하이브 데이터 또는 파일 시스템 데이터를 읽고 rootkit의 레지스트리 데이터 또는 파일이 없도록 데이터의 내용을 변경해야합니다. 그러나 이것은 루트 키트에서 볼 수없는 수준의 정교함이 필요합니다. 데이터 변경에는 NTFS에 대한 친밀한 지식, 지방 및 레지스트리 하이브 형식에 대한 친밀한 지식과 루트 키트를 숨기도록 데이터 구조를 변경하는 기능이 필요하지만 루트 키트 리브 리버가 표시하는 일관되지 않거나 유효하지 않은 구조 또는 부작용 불일치를 유발하지 않습니다.

루트 키트의 존재를 알 수있는 확실한 방법이 있습니까?
일반적으로 실행중인 시스템 내에서가 아닙니다. 커널 모드 루트 키트는 시스템 동작의 모든 측면을 제어 할 수 있으므로 RETKITREVEALER가 수행 한 레지스트리 하이브 및 파일 시스템 데이터를 포함하여 API가 반환 한 정보는 타협 할 수 있습니다. 시스템의 온라인 스캔과 CD 기반 운영 체제 설치와 같은 보안 환경에서 오프라인 스캔을 비교하는 동안 Rootkits.

결론은 범용 루트 키트 스캐너가 없지만 가장 강력한 스캐너는 안티 바이러스와 통합되는 온라인/오프라인 비교 스캐너입니다.

RootKitrevealer 사용

RootKitRevealer는 실행중인 계정이 백업 파일 및 디렉토리,로드 드라이버 및 볼륨 유지 보수 작업 (Windows XP 이상) 권한을 수행해야합니다. 관리자 그룹은 기본적으로 이러한 권한을 할당합니다. 오 탐지를 최소화하기 위해 유휴 시스템에서 RootKitrevealer를 실행합니다.

최상의 결과를 얻으려면 모든 응용 프로그램을 종료하고 rootkitrevealer 스캔 프로세스 중에 시스템을 유휴 상태로 유지합니다.

질문이나 문제가 있으면 Sysinternals Rootkitrevealer 포럼을 방문하십시오.

수동 스캔

시스템을 스캔하려면 시스템에서 시작하고 스캔 버튼을 누릅니다. rootkitrevealer는 창 하단의 상태 영역에서 동작을보고하고 출력 목록의 불일치에 주목하는 시스템을 스캔합니다. 구성 할 수있는 옵션 :

• NTFS 메타 데이터 파일 숨기기 : 이 옵션은 기본적으로 켜져 있으며 RootKitrevealer가 Windows API에 숨겨져있는 표준 NTFS 메타 데이터 파일을 표시하지 않습니다.
• 스캔 레지스트리 : 이 옵션은 기본적으로 켜져 있습니다. 선택 해제 해제 rootkitrevealer가 레지스트리 스캔을 수행하지 않습니다.

자동 스캔을 시작합니다

RootKitRevealer는 자동 스캔 시스템을위한 몇 가지 옵션을 지원합니다

사용법 : rootkitrevealer [-a [-c] [-m] [-r] outputfile]

매개 변수	설명
-ㅏ	완료되면 자동으로 스캔하고 종료합니다.
-씨	CSV 형식 출력.
-중	NTFS 메타 데이터 파일을 표시하십시오.
-아르 자형	레지스트리를 스캔하지 마십시오.

파일 출력 위치는 로컬 볼륨에 있어야합니다.

-C 옵션을 지정하면 데이터베이스로 쉽게 가져 오기 위해 진행 상황을보고하지 않으며 불일치가 CSV 형식으로 인쇄됩니다. 다음과 같은 명령 줄을 사용하여 Sysinternals Psexec 유틸리티로 실행하여 원격 시스템 스캔을 수행 할 수 있습니다

psexec \\ remote -c rootkitrevealer.exe -a c : \ windows \ system32 \ rootkit.통나무

출력 해석

이것은 인기있는 Hackerdefender Rootkit의 존재를 감지하는 Rootkitrevealer의 스크린 샷입니다. 레지스트리 키 불일치에 따르면 HackerDefender의 장치 드라이버 및 서비스 설정을 저장하는 레지스트리 키는 Windows API에 표시되지 않지만 레지스트리 하이브 데이터의 원시 스캔에 존재합니다. 마찬가지로 HackerDefender 관련 파일은 Windows API 디렉토리 스캔에 표시되지 않지만 RAW 파일 시스템 데이터 스캔에 존재합니다.

모든 불일치를 검사하고 루트 키트의 존재를 나타내는 가능성을 결정해야합니다. 불행히도, 루트 키트가있는 경우 출력을 기반으로 결정할 수있는 결정적인 방법은 없지만,보고 된 모든 불일치를 검사하여 설명 할 수 있도록해야합니다. 루트 키트가 설치되어 있는지 확인하면 웹에서 제거 지침을 검색하십시오. 루트 키트를 제거하는 방법이 확실하지 않은 경우 시스템의 하드 디스크를 재구성하고 창을 다시 설치해야합니다.

가능한 rootkitrevealer 불일치에 대한 아래의 정보 외에도 Sysinternals의 Rootkitrevealer 포럼은 감지 된 Rootkits 및 특정 허위 양성에 대해 설명합니다.

Windows API에서 숨겨져 있습니다

이러한 불일치는 대부분의 루트 키트가 전시 한 것입니다. 그러나 NTFS가 Windows API에서 $ MFT 및 $ Secure와 같은 Metada 파일을 숨기기 때문에 NTFS 메타 데이터 파일 Heen NTFS 메타 데이터 파일을 확인하지 않은 경우 NTFS 볼륨에 해당 여러 항목이 표시됩니다. NTFS 볼륨에 존재하는 메타 데이터 파일은 NTFS 버전과 볼륨에서 활성화 된 NTFS 기능에 따라 다릅니다. Kaspersky Antivirus와 같은 바이러스 백신 제품도 NTFS 대체 데이터 스트림에 저장하는 데이터를 숨기기 위해 Rootkit 기술을 사용합니다. 이러한 바이러스 스캐너를 실행중인 경우 모든 NTFS 파일의 대체 데이터 스트림에 대한 Windows API 불일치에 숨겨져 있습니다. rootkitrevealer는 루트 키트가 필터링을 활용할 수 있으므로 출력 필터를 지원하지 않습니다. 마지막으로 스캔 중에 파일이 삭제되면이 불일치가 표시 될 수도 있습니다.

이것은 Windows Server 2003으로 정의 된 NTFS 메타 데이터 파일의 목록입니다

• $ attrdef
• $ badclus
• $ badclus : $ bad
• $ 비트 맵
• $ 부팅
• $ logfile
• $ MFT
• $ mftmirr
• $ 보안
• $ 업 케이스
• $ 볼륨
• $ 확장
• $ 확장 \ $ Reparse
• $ 확장 \ $ objid
• $ 확장 \ $ usnjrnl
• $ 확장 \ $ usnjrnl : $ max
• $ 확장 \ $ 할당량

접근이 금지되어있다.
rootkitrevealer는 시스템의 파일, 디렉토리 또는 레지스트리 키에 액세스 할 수있는 메커니즘을 사용하기 때문에이 불일치를보고하지 않아야합니다.

Windows API, 디렉토리 인덱스에서 볼 수 있지만 MFT에는 없습니다.
Windows API에는 표시되지만 MFT 또는 디렉토리 인덱스에는 없습니다.
Windows API, MFT에서 볼 수 있지만 디렉토리 인덱스에는 없습니다.
디렉토리 인덱스에 표시되지만 Windows API 또는 MFT는 아닙니다.

파일 시스템 스캔은 Windows API, NTFS 마스터 파일 테이블 (MFT) 및 NTFS 온 디스크 디렉토리 인덱스 구조의 세 가지 구성 요소로 구성됩니다. 이러한 불일치는 파일이 스캔 중 하나 또는 두 개만 나타나는 것을 나타냅니다. 일반적인 이유는 스캔 중에 파일이 생성되거나 삭제되기 때문입니다. 이것은 스캔 중에 생성 된 파일에 대한 rootkitrevealer의 불일치 보고서의 예입니다

C : \ newfile.txt
2005 년 3 월 1 일 오후 5시 26 분
8 바이트
Windows API에는 표시되지만 MFT 또는 디렉토리 인덱스에는 없습니다.

Windows API 길이는 원시 하이브 데이터와 일치하지 않습니다.
Rootkits는 레지스트리 값의 크기를 잘못 표현하여 내용물이 Windows API에 표시되지 않도록 스스로를 숨기려고 시도 할 수 있습니다. 스캔 중에 변경되는 레지스트리 값의 결과로 나타날 수도 있지만 그러한 불일치를 검사해야합니다.

Windows API와 Raw Hive 데이터간에 불일치를 입력하십시오.
레지스트리 값은 dword 및 reg_sz와 같은 유형을 가지고 있으며,이 불일치는 Windows API를 통해보고 된 값의 유형이 원시 하이브 데이터의 유형과 다르다는 것을 지적합니다. rootkit은 예를 들어 reg_binary 값으로 저장하여 데이터를 마스킹하고 Windows API가 Reg_SZ 값이라고 생각하게 할 수 있습니다. 데이터 시작시 0을 저장하면 Windows API는 후속 데이터에 액세스 할 수 없습니다.

키 이름에는 내장 널이 포함되어 있습니다.
Windows API는 키 이름을 Null-Perminated String으로 취급하는 반면 커널은 계산 된 문자열로 취급합니다. 따라서 운영 체제에 보이는 레지스트리 키를 만들 수 있지만 Regedit과 같은 레지스트리 도구에는 부분적으로 만 보입니다. Sysinternals의 Reghide 샘플 코드는이 기술을 보여줍니다.이 기술은 맬웨어와 Rootkits에서 레지스트리 데이터를 숨기기 위해 사용합니다. Sysinternals RegdelNull 유틸리티를 사용하여 널이 포함 된 키를 삭제하십시오.

Windows API와 Raw Hive 데이터 간의 데이터 불일치.
레지스트리 스캔이 진행되는 동안 레지스트리 값이 업데이트되면이 불일치가 발생합니다. 자주 변경되는 값은 Microsoft SQL Server Uptime 값, 아래 표시된 타임 스탬프 및 바이러스 스캐너 “마지막 스캔”값을 포함합니다. 유효한 응용 프로그램 또는 시스템 레지스트리 값을 확인하기 위해보고 된 값을 조사해야합니다.

HKLM \ Software \ Microsoft \ Microsoft SQL Server \ Recovermanager \ MSSQLServer \ Uptime_time_utc
2005 년 3 월 1 일 오후 4시 33 분
8 바이트

루트 키트 리소스

다음 웹 사이트와 책은 Rootkits에 대한 자세한 정보의 출처입니다

Sony, Rootkits 및 Digital Rights Management가 너무 멀리 갔다
그의 컴퓨터 중 하나에서 Sony Rootkit의 발견 및 분석에 대한 Mark의 블로그 항목을 읽으십시오.

뿌리를 발사합니다
마크의 6 월 Windows IT Pro 잡지 기사는 Rootkit Technologies에 대한 개요와 RootKitrevealer의 작동 방식을 제공합니다.

Rootkits : Windows 커널을 파기합니다
Greg Hoglund와 Jamie Butler 의이 책은 이용 가능한 루트 키트의 가장 포괄적 인 치료입니다.

www.문구.org
이 사이트는 아카이브를 저장합니다 문구, 개발자가 보안 관련 제품, 루트 키트 기술 및 기타 맬웨어 트릭의 결함에 대해 논의하는 크래커 지향 잡지.

Windows Internals, 4 판, 작성자 : Mark Russinovich와 Dave Solomon.

rootkitrevealer를 다운로드하십시오 (231 KB)

지금 실행하십시오 Sysinternals에서 살고 있습니다.