IE용 Flash Player ActiveX Control을 제거하기 위해서
제어판의 "프로그램 추가/제거" 항목을 살펴봤는데,
이상하게도 제거 목록에 관련 내용이 없었다.
그래서 Adobe 지원 사이트에서 검색을 해보았는데,
제거 프로그램을 받을 수 있었다.
문서 제목 : How to uninstall the Adobe Flash Player plug-in and ActiveX control
주 소 : http://www.adobe.com/go/tn_14157
위 사이트에 가서 본인이 사용하고 있는 운영체제에 알맞은 프로그램을 받은뒤에 실행중인 다른 응용프로그램은 모두 종료하고 실행한다.
이 언인스톨러 프로그램은 실행 중인 파일은 제거할 수 없으므로
플레시 플레이어를 사용하는 웹브라우저 창이나 메신저 같은 프로그램 등은 종료하고 실행해야한다.
2008-12-31 00:06:45
2008년 12월 31일 수요일
2008년 12월 11일 목요일
Office Update 웹 사이트에서 Office가 업데이트되지 않는 문제를 해결하는 방법
Office Update 웹 사이트에서 Office가 업데이트되지 않는 문제를 해결하는 방법 http://support.microsoft.com/kb/304498/ko
Office Update 웹 사이트에서 업데이트 실행시 업데이트 임시폴더 경로가 궁금했는데,
위의 링크의 웹문서를 보니...
기본 경로는 아래와 같고,
C:\Program Files\OfficeUpdate[버전]
Office Update 웹 사이트에서 업데이트를 했다면, 위의 경로는 삭제되고,
%appdata% 디렉토리 하위의 OfficeUpdate[버전] 폴더가 만들어지고,
그 경로를 이용한다.
%appdata% 의 경로는 명령프롬프트 창에서
set APPDATA
위의 명령으로 확인할 수 있다.
2008-12-10 18:49:16
2008년 12월 9일 화요일
노턴 안티바이러스 5.0
어떤 모습인지 궁금해서 설치해본 노턴 안티바이러스 5.0 한글 체험판.
기본 포함된 정의를 쓰면서 심각한 문제는 없었지만,
LiveUpdate는 작동 중 멈춰버리는 현상이 있고,
http://www.symantec.com/business/security_response/definitions/download/detail.jsp?gid=n95
위 사이트에서 최신 정의를 받아서 설치를 했을때...
[적용후 메인화면에 적용된 표시 날짜는 2008-12-7]
정의 파일 적용이 되긴 하지만,
적용 후에는 기본 포함된 정의 일때와 다르게
프로그램 실행속도가 꽤 느려지고
바이러스 검사할 때 마스터 부트레코드와 부트레코드를 읽을 수 없다는 오류 메시지가 나왔다.
2008-12-08 19:21:14
2008년 12월 2일 화요일
노턴 안티바이러스의 시디 부팅 검사 기능.
노턴 안티바이러스 2006은...
요즘나온 노턴 안티바이러스 2009 에 비하면 오래된 제품이라고 할 수 있지만,
사용기간만 남아있다면...
노턴 안티바이러스 2009로도 업그레이드 해서 사용할 수 있는 버전이기 때문에 구입했습니다.
혹시 시디 부팅을 해서 검사를 할 수 있는 기능이 있을까 궁금해서
노턴 안티바이러스 2006 설치 CD를 넣고 실행해보았습니다.
CD 부팅이 됩니다.
여기서 아무 키나 누르면 자동으로 검사가 작동합니다. 다른 옵션을 사용하려면 Ctrl + C를 누르고 수동으로 NAVDX에 옵션을 추가해서 실행해야합니다.
자동으로 실행된 검사가 완료되었습니다.
여기서 중요한 점은 NTFS 파일시스템을 인식할 수 없습니다. NAV의 버전은 2006이지만 CD부팅 검사 기능은 별로 신경쓰지 않은 것 같습니다.
위의 검사한 하드디스크는 일부러 FAT32 파일 시스템 하드를 검사한 결과입니다.
navdx /? 를 실행시킨 화면 입니다. 여러 옵션이 있습니다.
노턴 안티바이러스 2009의 시디 부팅 검사 기능은 (복구 CD 기능)
일반 윈도우 화면에, 한글을 지원하며
인터넷이 연결되어있는 경우 정의 업데이트도 가능합니다.
(네트워크 설정을 따로 할 수 있는 옵션이 없어 동적IP환경만 가능합니다.)
2009버전의 복구CD는 NTFS 파일 시스템 인식에도 문제가 없습니다.
* 시만텍 홈페이지의 Norton AntiVirus 2009 제품 복구 CD기능 사용 플레시 동영상 링크
http://www.symantec.com/content/en/us/home_homeoffice/media/flash/tut.....
* Norton AntiVirus 2009 ESD제품 구입자를 위한 Recovery CD ISO 이미지 다운로드 링크
http://www.symantec.com/norton/support/kb/web_view.jsp?wv_type=public_web&docurl=20080911125713EN
2008-12-01 16:52:18
요즘나온 노턴 안티바이러스 2009 에 비하면 오래된 제품이라고 할 수 있지만,
사용기간만 남아있다면...
노턴 안티바이러스 2009로도 업그레이드 해서 사용할 수 있는 버전이기 때문에 구입했습니다.
혹시 시디 부팅을 해서 검사를 할 수 있는 기능이 있을까 궁금해서
노턴 안티바이러스 2006 설치 CD를 넣고 실행해보았습니다.
CD 부팅이 됩니다.
여기서 아무 키나 누르면 자동으로 검사가 작동합니다. 다른 옵션을 사용하려면 Ctrl + C를 누르고 수동으로 NAVDX에 옵션을 추가해서 실행해야합니다.
자동으로 실행된 검사가 완료되었습니다.
여기서 중요한 점은 NTFS 파일시스템을 인식할 수 없습니다. NAV의 버전은 2006이지만 CD부팅 검사 기능은 별로 신경쓰지 않은 것 같습니다.
위의 검사한 하드디스크는 일부러 FAT32 파일 시스템 하드를 검사한 결과입니다.
navdx /? 를 실행시킨 화면 입니다. 여러 옵션이 있습니다.
노턴 안티바이러스 2009의 시디 부팅 검사 기능은 (복구 CD 기능)
일반 윈도우 화면에, 한글을 지원하며
인터넷이 연결되어있는 경우 정의 업데이트도 가능합니다.
(네트워크 설정을 따로 할 수 있는 옵션이 없어 동적IP환경만 가능합니다.)
2009버전의 복구CD는 NTFS 파일 시스템 인식에도 문제가 없습니다.
* 시만텍 홈페이지의 Norton AntiVirus 2009 제품 복구 CD기능 사용 플레시 동영상 링크
http://www.symantec.com/content/en/us/home_homeoffice/media/flash/tut.....
* Norton AntiVirus 2009 ESD제품 구입자를 위한 Recovery CD ISO 이미지 다운로드 링크
http://www.symantec.com/norton/support/kb/web_view.jsp?wv_type=public_web&docurl=20080911125713EN
2008-12-01 16:52:18
FCIV로 특정 해시 값을 가진 파일을 찾아보기
예를 들어 C:\Windows\System32 폴더에 dll확장자를 가진 파일들 중에서
어떤 특정 MD5나 SHA1 해시값을 가지고 있는 파일이 있는지 찾아보려면,
아래와 같이 입력해주면 된다.
fciv -add c:\Windows\System32 -type *.dll | findstr [MD5 해시값 입력]
([]는 구분상으로 적은 것이지 대괄호 까지 같이 입력하면 안된다.)
FCIV의 기본 설정이 MD5 해시값을 기본 출력하는 것으로 되어있기 때문에 위의 명령에서는
-md5 옵션을 생략했다.
SHA-1 해시값을 출력하기위해서는 -sha1 옵션을, 둘다 표시하기위해서는 -both를 붙혀주면 된다.
fciv -add c:\Windows\System32 -type *.dll -sha1 | findstr [SHA-1 해시값 입력]
2008-12-01 10:25:51
2008년 11월 28일 금요일
V3Lite 베타 보안 패치 관리 기능.
사용환경 : Windows 2000 Professional SP4
Windows Update 사이트에서 모든 업데이트를 설치했고,
새로 설치할 중요업데이트 목록이 없는데도,
V3Lite 베타의 [PC튜닝] -> [보안패치 관리] 항목에 들어가면 아래의
패치들이 검색되었습니다.
* ActiveX 킬(Kill) 비트 누적 보안 업데이트(950760)
http://www.microsoft.com/korea/technet/security/bulletin/MS08-032.mspx
* Windows 인터넷 인쇄 서비스의 취약점으로 인한 원격 코드 실행 문제점(953155)
http://www.microsoft.com/korea/technet/security/bulletin/MS08-062.mspx
먼저 제 컴퓨터에는 KB956391이 설치되어있습니다.
* ActiveX 킬(Kill) 비트 누적 보안 업데이트(956391)
http://www.microsoft.com/korea/technet/security/advisory/956391.mspx
[FAQ내용]
이 업데이트에는 이전에 ActiveX 킬(Kill) 비트 누적 보안 업데이트에서 발표된 킬 비트가 포함되어 있습니까?
그렇습니다. 이 업데이트에는 이전의 Microsoft 보안 권고(953839)에서 발표된 킬 비트도 포함되어 있습니다.
* ActiveX 킬(Kill) 비트 누적 보안 업데이트(953839)
http://www.microsoft.com/korea/technet/security/advisory/953839.mspx
[FAQ내용]
이 업데이트에는 이전에 ActiveX 킬(Kill) 비트 누적 보안 업데이트에서 발표된 킬 비트가 포함되어 있습니까?
그렇습니다. 이 업데이트에는 이전에 Microsoft 보안 공지 MS08-032에 발표된 킬 비트도 포함되어 있습니다.
위의 내용을 보면 KB956391이 먼저 발표된 킬 비트 업데이트를 포함하고 있기 때문에
950760은 설치할 필요가 없는데, V3 Lite 베타는 그 패치를 출력했습니다.
Windows 인터넷 인쇄 서비스 취약점으로 인한 원격 코드 실행 문제점 (953155)에 대한
패치가 Windows Update 사이트에 나오지 않는 이유를 알아보니
"인터넷 정보 서비스(IIS)"를 설치하기 전에는 해당 업데이트가 Windows Update 사이트에
나오지 않았지만, 설치 후 중요 업데이트 항목에 추가되었습니다.
그외 IIS와 관련된 몇가지 업데이트가 더 추가되었습니다.
IIS의 설치에 따른 추가된 업데이트 목록 변화가 V3Lite 베타의 보안패치 관리에도 있나 싶어서 확인해봤습니다.
변화가 없습니다. (942831, 891861, 917537에 대한 패치가 출력되지 않음.)
이번에는 Windows Update 사이트에서 새로 추가된 업데이트를 설치한 후 다시 확인해봤습니다.
"Windows 인터넷 인쇄 서비스의 취약점으로 인한 원격 코드 실행 문제점(953155)" 업데이트는
목록에서 없어졌습니다.
아직 V3Lite 베타의 보안 패치 관리 기능은 능동적이지 못하다는 생각이 듭니다.
아직은 Windows Update 사이트를 이용하는 것이 나을 것 같습니다.
2008-11-27 08:15:21
Windows Update 사이트에서 모든 업데이트를 설치했고,
새로 설치할 중요업데이트 목록이 없는데도,
V3Lite 베타의 [PC튜닝] -> [보안패치 관리] 항목에 들어가면 아래의
패치들이 검색되었습니다.
* ActiveX 킬(Kill) 비트 누적 보안 업데이트(950760)
http://www.microsoft.com/korea/technet/security/bulletin/MS08-032.mspx
* Windows 인터넷 인쇄 서비스의 취약점으로 인한 원격 코드 실행 문제점(953155)
http://www.microsoft.com/korea/technet/security/bulletin/MS08-062.mspx
먼저 제 컴퓨터에는 KB956391이 설치되어있습니다.
* ActiveX 킬(Kill) 비트 누적 보안 업데이트(956391)
http://www.microsoft.com/korea/technet/security/advisory/956391.mspx
[FAQ내용]
이 업데이트에는 이전에 ActiveX 킬(Kill) 비트 누적 보안 업데이트에서 발표된 킬 비트가 포함되어 있습니까?
그렇습니다. 이 업데이트에는 이전의 Microsoft 보안 권고(953839)에서 발표된 킬 비트도 포함되어 있습니다.
* ActiveX 킬(Kill) 비트 누적 보안 업데이트(953839)
http://www.microsoft.com/korea/technet/security/advisory/953839.mspx
[FAQ내용]
이 업데이트에는 이전에 ActiveX 킬(Kill) 비트 누적 보안 업데이트에서 발표된 킬 비트가 포함되어 있습니까?
그렇습니다. 이 업데이트에는 이전에 Microsoft 보안 공지 MS08-032에 발표된 킬 비트도 포함되어 있습니다.
위의 내용을 보면 KB956391이 먼저 발표된 킬 비트 업데이트를 포함하고 있기 때문에
950760은 설치할 필요가 없는데, V3 Lite 베타는 그 패치를 출력했습니다.
Windows 인터넷 인쇄 서비스 취약점으로 인한 원격 코드 실행 문제점 (953155)에 대한
패치가 Windows Update 사이트에 나오지 않는 이유를 알아보니
"인터넷 정보 서비스(IIS)"를 설치하기 전에는 해당 업데이트가 Windows Update 사이트에
나오지 않았지만, 설치 후 중요 업데이트 항목에 추가되었습니다.
그외 IIS와 관련된 몇가지 업데이트가 더 추가되었습니다.
IIS의 설치에 따른 추가된 업데이트 목록 변화가 V3Lite 베타의 보안패치 관리에도 있나 싶어서 확인해봤습니다.
변화가 없습니다. (942831, 891861, 917537에 대한 패치가 출력되지 않음.)
이번에는 Windows Update 사이트에서 새로 추가된 업데이트를 설치한 후 다시 확인해봤습니다.
"Windows 인터넷 인쇄 서비스의 취약점으로 인한 원격 코드 실행 문제점(953155)" 업데이트는
목록에서 없어졌습니다.
아직 V3Lite 베타의 보안 패치 관리 기능은 능동적이지 못하다는 생각이 듭니다.
아직은 Windows Update 사이트를 이용하는 것이 나을 것 같습니다.
2008-11-27 08:15:21
2008년 11월 27일 목요일
v3 Lite 베타설치해봤습니다.
설치 컴퓨터 사양 :
- CPU : 펜티엄III 933Mhz
- HDD : 30GB
- RAM : 511MB (512-1MB 메인보드 내장 그래픽 사용)
사이트 가드는 설치하지 않았습니다.
[기본화면]
[PC검사]
[PC검사 - 빠른 검사]
[PC검사 - 정밀 검사]
정밀검사 버튼을 클릭하면 위의 그림과 같이 현재 설정 되어있는 세부옵션을 보여주고 검사전 사용자가 설정을 바꿔서 실행할 수 있습니다.
[PC튜닝]
[PC튜닝 - PC최적화]
[PC튜닝 - PC관리]
[환경설정]
[고객센터]
온라인 고객지원 버튼을 눌렀을 때, 아직은 고객센터 웹페이지로 연결되지 않지만, 무료 사용자의 의견/질문에 대해 어느정도의 좋은 서비스를 해줄지 기대되네요.
[작업관리자 프로세스 - 평상시]
[작업관리자 프로세스 - 정밀검사 중 상태]
V3 365 클리닉 v2.0과 같이 프로세스도 2~3개이고 메모리 점유률도 낮습니다.
[특이한점]
1. 디스크 정리 도구(cleanmgr.exe)을 실행해서 v3 Lite를 설치해서 사용하고 있는 드라이브를 정리할때.
cleanmgr.exe프로그램이 V3 Lite 베타에 접근을 했다는 경고 메시지가 나왔습니다. 만약 수정시도가 아닌 단순 읽기라면 경고 메시지가 안나와도 될 것 같은 생각이 드는데..
이번에는 탐색기에서 V3 Lite 베타의 어떤 실행파일의 등록정보를 보았는데, 그때도 [자체 보호] 경고가 나왔습니다.
환경설정에서 "V3 자체 보호 알림" 체크를 해제하면 알림창이 나오지 않도록 할 수 있지만,
기본값으로 체크 되어있는 이상, 수정/삭제/강제종료 시도가 아닌 이상은 경고 메시지가 나오지 않게 하는 것이 좋을 것 같습니다.
"로그 보기"에서 PC검사 항목 부분에 자체 보고 경고가 같이 기록되는데, 자체 보호 관련 항목을 따로 만들어서 기록하면 좋을 것 같습니다.
구형 컴퓨터임에도 실행속도도 빠르고 메모리 점유도 낮아 좋았습니다.
개인 방화벽 기능은 포함되어있지 않으니, 윈도우 방화벽을 같이 사용하거나
괜찮은 무료 방화벽을 같이 사용하면 될 것 같고,
나중에 광고가 추가될지는 모르겠지만, 추가된다면
이곳저곳 나타나는 복잡하고 귀찮은 광고가 아닌
구글 애드샌스처럼 프로그램 특정 부분에 단순 문자 광고 정도만 추가된다면 더 좋을 것 같습니다.
2008-11-26 11:16:05
2008년 11월 21일 금요일
1394 리피터를 사용해봤습니다.
1394a 케이블의 권장 길이가 5m라고 하길레
원래 가지고 있던 것 3m + 5m짜리 리피터 케이블을 붙혀 사용해봤습니다.
사용환경은...
- 컴퓨터A : 메인보드 내장 1394a 포트 이용
- 컴퓨터B : 메인보드 내장 1394a 포트 이용
컴퓨터 A에는 1394a 6p-6p일반 케이블
컴퓨터 B에는 1394a 6p-6p암놈 리피터 케이블을 연결 했습니다.
위 사진 처럼 리피터 케이블의 암놈 소켓 부분은 뭔가
특별한 장치가 있는 지는 몰라도 사각의 플라스틱 케이스가 덮고 있습니다.
투명 케이블은 컴퓨터A하고 연결되어있습니다.
Iperf 테스트를 해봤습니다. 두 컴퓨터 모두 xp라서 "1394 넷 어뎁터"를 사용할 수 있기 때문에
일반 랜카드 사용하듯이 설정할 수 있습니다.
* 컴퓨터A를 클라이언트 모드로 설정해서 명령을 내렸을 때, (A->B로 전송하는 속도)
* 컴퓨터B를 클라이언트 모드로 설정해서 명령을 내렸을 때, (B->A로 전송하는 속도)
이번에는 네트워크 드라이브를 만든 다음,
각각의 컴퓨터에서 ATTO Disk Benchmark를 실행시켜 봤습니다.
* 컴퓨터A에서 n드라이브(컴퓨터B의 공유폴더에 연결된 n:)에대해서의 결과
* 컴퓨터B에서 n드라이브(컴퓨터A의 공유폴더에 연결된 n:)에대해서의 결과
32kb넘어가서는 Iperf의 결과와 비슷하게 나왔습니다. 두 컴퓨터가 Xp를 사용하고 있고 IEEE1394 포트가 메인보드에 내장된 경우.. 공유 연결을 하면 100Mbps 랜으로 연결한 것 보다는 좋은 성능을 보여주고 랜카드를 따로 구입할 필요가 없지만,
Vista 부터는 IP over 1394를 지원하지 않아 1394를 랜카드 처럼 사용할 수 없고, 거리의 제한도 일반 UTP케이블 사용하는 것보다 크게 짧은데다,
케이블, 리피터 값도 비싼 편이기 때문에,
컴퓨터간 빠른 공유목적을 위해라면 기가비트랜으로 사용하는 것이 낫겠다는 생각을 했습니다.
성능 좋은하드에 pci-e방식으로 연결되어있는 기가비트 내장랜을 사용하면 빠를 것 같더라구요..
저도 메인보드 내장랜으로 기가랜이 있기는 하지만 pci로 연결되어있는 것 같아서요...
그런데... 만약 10m 짜리 IEEE1394 일반 케이블을 사용했더라면 속도가 어떻게 나왔을지 궁금합니다.
혹시라도 10m 정도 거리는 리피터 없이도 괜찮을지... 그냥 궁금하네요.
아래는 3m 단일 케이블로 연결했을 때의 속도입니다.
* 컴퓨터A를 클라이언트 모드로 설정해서 명령을 내렸을 때, (A->B로 전송하는 속도)
3m+5m리피터 사용시 보다 [0.6 MB/sec] 속도 향상
* 컴퓨터B를 클라이언트 모드로 설정해서 명령을 내렸을 때, (B->A로 전송하는 속도)
3m+5m리피터 사용시 보다 [ 0.8MB/sec ] 속도 향상
단일 10m짜리 케이블(리피터 없이..)을 사용해서 비교해보면 좋은데 못해서 아쉽네요..
2008-11-20 19:02:55
원래 가지고 있던 것 3m + 5m짜리 리피터 케이블을 붙혀 사용해봤습니다.
사용환경은...
- 컴퓨터A : 메인보드 내장 1394a 포트 이용
- 컴퓨터B : 메인보드 내장 1394a 포트 이용
컴퓨터 A에는 1394a 6p-6p일반 케이블
컴퓨터 B에는 1394a 6p-6p암놈 리피터 케이블을 연결 했습니다.
위 사진 처럼 리피터 케이블의 암놈 소켓 부분은 뭔가
특별한 장치가 있는 지는 몰라도 사각의 플라스틱 케이스가 덮고 있습니다.
투명 케이블은 컴퓨터A하고 연결되어있습니다.
Iperf 테스트를 해봤습니다. 두 컴퓨터 모두 xp라서 "1394 넷 어뎁터"를 사용할 수 있기 때문에
일반 랜카드 사용하듯이 설정할 수 있습니다.
* 컴퓨터A를 클라이언트 모드로 설정해서 명령을 내렸을 때, (A->B로 전송하는 속도)
* 컴퓨터B를 클라이언트 모드로 설정해서 명령을 내렸을 때, (B->A로 전송하는 속도)
이번에는 네트워크 드라이브를 만든 다음,
각각의 컴퓨터에서 ATTO Disk Benchmark를 실행시켜 봤습니다.
* 컴퓨터A에서 n드라이브(컴퓨터B의 공유폴더에 연결된 n:)에대해서의 결과
* 컴퓨터B에서 n드라이브(컴퓨터A의 공유폴더에 연결된 n:)에대해서의 결과
32kb넘어가서는 Iperf의 결과와 비슷하게 나왔습니다. 두 컴퓨터가 Xp를 사용하고 있고 IEEE1394 포트가 메인보드에 내장된 경우.. 공유 연결을 하면 100Mbps 랜으로 연결한 것 보다는 좋은 성능을 보여주고 랜카드를 따로 구입할 필요가 없지만,
Vista 부터는 IP over 1394를 지원하지 않아 1394를 랜카드 처럼 사용할 수 없고, 거리의 제한도 일반 UTP케이블 사용하는 것보다 크게 짧은데다,
케이블, 리피터 값도 비싼 편이기 때문에,
컴퓨터간 빠른 공유목적을 위해라면 기가비트랜으로 사용하는 것이 낫겠다는 생각을 했습니다.
성능 좋은하드에 pci-e방식으로 연결되어있는 기가비트 내장랜을 사용하면 빠를 것 같더라구요..
저도 메인보드 내장랜으로 기가랜이 있기는 하지만 pci로 연결되어있는 것 같아서요...
그런데... 만약 10m 짜리 IEEE1394 일반 케이블을 사용했더라면 속도가 어떻게 나왔을지 궁금합니다.
혹시라도 10m 정도 거리는 리피터 없이도 괜찮을지... 그냥 궁금하네요.
아래는 3m 단일 케이블로 연결했을 때의 속도입니다.
* 컴퓨터A를 클라이언트 모드로 설정해서 명령을 내렸을 때, (A->B로 전송하는 속도)
3m+5m리피터 사용시 보다 [0.6 MB/sec] 속도 향상
* 컴퓨터B를 클라이언트 모드로 설정해서 명령을 내렸을 때, (B->A로 전송하는 속도)
3m+5m리피터 사용시 보다 [ 0.8MB/sec ] 속도 향상
단일 10m짜리 케이블(리피터 없이..)을 사용해서 비교해보면 좋은데 못해서 아쉽네요..
2008-11-20 19:02:55
2008년 7월 20일 일요일
xp 각각의 서비스팩에서 lsass.exe SHA1값, 크기, 파일버전
lsass.exe : 서비스팩 적용되지 않은 시디의 파일
lsass_sp1a.exe : 서비스팩 1a 의 파일
lsass_sp2.exe : 서비스팩 2의 의 파일
lsass_sp3.exe : 서비스팩 3의 의 파일
(단위 : byte)
크기는 원본과 SP1a와 크기가 같았고,
SP2와 SP3의 크기가 같았습니다.
(파일크기가 같은 것에 대해서는 이전 버전의 파일을 버전만 바꾸고 그대로
써서 그런 것 같은 생각이 듭니다.)
SHA1값은 모두 달랐습니다.
SP3을 사용하고 있는데, lsass.exe가 지워졌을 때,
윈도우 설치CD가 서비스팩이 적용안된 원본CD 또는 SP1 CD 일경우
복구콘솔에서 expand 명령으로 CD의 lsass.ex_를 복사하여 복구하기 보단,
- IT 전문가 및 개발자용 Windows XP 서비스 팩 3 네트워크 설치 패키지
http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ko
위의 웹사이트에서 파일을 받아
/x 옵션으로 설치파일의 압축을 풀어
lsass.ex_를 USB 메모리나 플로피디스켓에 저장해두고
윈도우 설치시디로 복구콘솔 부팅하여 복구하는 것이 좋겠다는 생각이 듭니다.
복구콘솔에서도 USB메모리 인식 하더라구요..
(SP2 CD였어도 ... SP3의 lsass.exe로 복구하는 것이 좋을 것 같구요.)
2008-07-19 15:25:12
2008년 7월 12일 토요일
안랩에서 배포한 복구ISO를 PXE부팅으로 실행시키기...
컴퓨터간 네트워크 환경이 구축되어있고,
lsass.exe가 삭제된 네트워크 (PXE)부팅이 가능한 컴퓨터들이
TFTPD32가 실행되고 있는 컴퓨터에 저장되어있는 안랩 부팅 복구CD이미지파일을
네트워크를 통해 전송받아와서 부팅하여
실행하게 하려는 것이 목표..
TFTPD32 홈페이지에서 프로그램 받아다가
설치하고 실행해서 .\TFTPD32\
IP/DHCP설정 맞춰준다음.
http://www.kernel.org/pub/linux/utils/boot/syslinux/ 경로의
syslinux-3.55.zip 파일압축 내용 또는
안영혁님 블로그. 첨부 압축파일내용 중
memdisk, .\TFTPD32\
pxelinux.0, .\TFTPD32\
위 2개 파일과
pxelinux.cfg폴더를 만들고 그안에 default파일을 생성해서 내용를 아래와 같이 수정하면
.\TFTPD32\pxelinux.cfg\ 경로에 아래와 같은 내용의 default 파일 만들기
------------------------------
default ahnlab
label ahnlab
kernel memdisk
append initrd=Bootable_2.88M.img
------------------------------
안철수 연구소에서 배포한 ISO이미지 파일 내부의
Bootable_2.88M.img파일을 경로 맞춰서 복사해주고 .\TFTPD32\
[default파일을 메모장으로 수정했습니다.
append initrd=Bootable_2.88M.img 파일명만 바꿨구요..]
같은 네트워크 상의 PC로 네트워크 부팅을 해봤는데,
PXE부팅도 잘 되네요...
안랩에서 배포한 img파일을 못 읽을 줄 알았는데 .. 그대로 읽어서 실행이 되더라구요..
**참고 사이트
* TFTPD32 다운로드.
http://tftpd32.jounin.net/tftpd32_download.html
* memdisk, pxelinux.0 파일을 얻기위한 경로. zip 파일 압축 풀어보면
memdisk와 pxelinux.0을 구할 수 있음.
http://www.kernel.org/pub/linux/utils/boot/syslinux/
* 안영혁님 블로그.
http://blog.naver.com/hyuk811?Redirect=Log&logNo=140037752713
* USB 메모리 파티션 만들기 포맷하기
http://my-debian-linux.blogspot.com/2007/10/usb-memory-stick-booting-debian.html
안철수연구소에서 PXE부팅으로 복구하는 방법도 게시하면 좋을 것 같습니다.
(학교 컴퓨터 실습실 같은데서 시험해보면 많은 컴퓨터에서 제대로 작동이 되는지 확실할 시험이 될 것 같은데..그런곳에서 실험을 못해봐서 아쉽군요.)
어떤 분이 C:\Windows> 경로의 setupapi.log에서 lsass.exe의 삭제사실을 발견했다고 하는데
참고해볼만한 사항 같습니다.
2008-07-12 01:21:17
2008년 6월 29일 일요일
어떻게 알아보게 할 수 있는 것인지..
간간히 가던 T모 사이트에서 바이러스가 발견된다는 자유게시판 글을 읽고
임시파일 폴더를 뒤져봤습니다.
1) 사이트의 index를 의미하는 것 같다고 생각되는 곳에
붉은 상자안의 내용과 같은 코드가 삽입되어있었습니다.
2) b.js의 내용
3) 인터넷 임시폴더에서 관련 항목이 확인 됨
4) index[1].htm의 내용 일부
위의 읽기 어렵게 만든 코드를 해독하고 싶은데...
이런 경우는 어떻게 해야하는지 모르겠습니다.
2008-06-28 22:32:56
임시파일 폴더를 뒤져봤습니다.
1) 사이트의 index를 의미하는 것 같다고 생각되는 곳에
붉은 상자안의 내용과 같은 코드가 삽입되어있었습니다.
2) b.js의 내용
3) 인터넷 임시폴더에서 관련 항목이 확인 됨
4) index[1].htm의 내용 일부
위의 읽기 어렵게 만든 코드를 해독하고 싶은데...
이런 경우는 어떻게 해야하는지 모르겠습니다.
2008-06-28 22:32:56
웹사이트 해킹으로 인한 악성코드 배포 사이트 분석 블로그
구글 돌아다니다 발견했는데,
울지않는 벌새 님 블로그 Analysis항목 링크
요즘 해킹된 웹사이트와 그에대한 분석,
스크립트에 의해 다운로드되는
파일의 행동까지 자세히 분석되어있네요.
(파일생성, 프로세서생성, 레지스트리 생성)
자주 들러볼만한 블로그 같습니다.
2008-06-28 15:42:14
울지않는 벌새 님 블로그 Analysis항목 링크
요즘 해킹된 웹사이트와 그에대한 분석,
스크립트에 의해 다운로드되는
파일의 행동까지 자세히 분석되어있네요.
(파일생성, 프로세서생성, 레지스트리 생성)
자주 들러볼만한 블로그 같습니다.
2008-06-28 15:42:14
2008년 6월 28일 토요일
또 다른 iframe삽입된 사이트 발견.
웹을 돌아다니다
악성iframe이 삽입된 사이트페이지를 또 발견했습니다.
하루에만 2번이나 보게되니...
단순히 넘어갈 문제가 아닌 것 같습니다.
----------------------------------------------------------------
특정 웹페이지 내용에 삽입되어있던 iframe태그 부분
----------------------------------------------------------------
먼저 봤던 사이트는 그냥 하단에 하나 보였는데..
이번 사이트는 5개는 중복되서 삽입되어 있었습니다.
*h?*p://?*.*2.7*.3*/index.htm 파일의 내용.
이번에는 단순히 xmp태그를 document.write 끝 양단에 씌우기보단
unescape 함수를 4번 실행하고,
그 결과를 xmp태그로 화면에 그대로 출력하는 방법으로
내용보기에 성공했습니다.
(alert로 단순 출력했을 때는, 바뀌지 않고 그대로여서 왜 바뀌않지?하고.. 고생했네요.)
* 변환하기위해 약간의 수정.(붉은 상자 내용처럼)
* IE7로 출력
이번에 이 코드를 삽입한 사람은 개행문자나 공백문자로
혼동되게는 하지 않은 것 같습니다.
소스 부분이 아주 깔끔하게 출력되었습니다.
깔끔하게는 출력되었지만 뭘하려는 의미인지는 ㅠㅠ...
* 해석된 코드의 h.exe을 다운로드하여 virscan.org에서 검사했습니다.
느낀점..
avast 무료로도 배포하면서도... 은근히 좋은 것 같음...
추가사항
바이러스 체이서에는 어떻게 나올까싶어
확인해봤습니다.
잘 검출해냈고...
치료버튼 누르니 치료가 불가능한 파일
(그자체가 바이러스파일이니...)
이라고 나오고 제거했습니다.
3개밖에 시험해보지 않았지만,
모두 검색해내니..
기분이 좋네요.
2008-06-28 04:05:25
악성iframe이 삽입된 사이트페이지를 또 발견했습니다.
하루에만 2번이나 보게되니...
단순히 넘어갈 문제가 아닌 것 같습니다.
----------------------------------------------------------------
특정 웹페이지 내용에 삽입되어있던 iframe태그 부분
----------------------------------------------------------------먼저 봤던 사이트는 그냥 하단에 하나 보였는데..
이번 사이트는 5개는 중복되서 삽입되어 있었습니다.
*h?*p://?*.*2.7*.3*/index.htm 파일의 내용.
이번에는 단순히 xmp태그를 document.write 끝 양단에 씌우기보단
unescape 함수를 4번 실행하고,
그 결과를 xmp태그로 화면에 그대로 출력하는 방법으로
내용보기에 성공했습니다.
(alert로 단순 출력했을 때는, 바뀌지 않고 그대로여서 왜 바뀌않지?하고.. 고생했네요.)
* 변환하기위해 약간의 수정.(붉은 상자 내용처럼)
* IE7로 출력
이번에 이 코드를 삽입한 사람은 개행문자나 공백문자로
혼동되게는 하지 않은 것 같습니다.
소스 부분이 아주 깔끔하게 출력되었습니다.
깔끔하게는 출력되었지만 뭘하려는 의미인지는 ㅠㅠ...
* 해석된 코드의 h.exe을 다운로드하여 virscan.org에서 검사했습니다.
2008-06-28 04:05:25
악성코드를 감염시킨다고해서 들어가봤습니다.
제 컴퓨터 환경 : XP SP3 업데이트 최신, Flash 업데이트 최신
사 용 백 신 : 노턴 인터넷 시큐리티 2008/ 바이러스체이서 USB
인터넷 돌아다니다가
s********r.com이 문제있는 사이트라고 들어서 사이트를 돌아다녀 봤습니다.
사이트 링크 몇 군데 돌아다니다가...
------------------------------------------------------------------------------
Microsoft Corporation에서 배포한 MIcrosoft Data Access -Remote Data Services Dat...' 추가기능을 실행하려고 합니다. 이 웹 사이
트와 추가 기능을 신뢰할 수 있고 실행을 허용하는 경우 여기를 클릭하십시오.
------------------------------------------------------------------------------
IE7에서 이말이 상단에 출력되서...
바로 Temporary Internet Files에 들어가서 다운로드된 임시 폴더를
확인해봤습니다.
임시 파일 중 수상한 부분이 발견되었는데...
대부분 다운로드된 임시파일 경로는
s**********r.com 이였지만,
xml.htm이라는 파일은 경로가
h**p://***.230.98.20/xml/xml/xml.htm
위와 같았습니다.
이 xml.htm을 불러오는 부분을 확인하기위해
이전에 엑세스된 파일들을 열어보다가
http://www.s**********r.com/innerMenu.htm란 파일의 내용을 보다가
맨 아래부분의 문제가 있는 부분을 발견했습니다.
----------------------------------------------------------
* innerMenu.htm의 최하단부 내용.
----------------------------------------------------------
위와 같이 iframe태그가 들어있는데..
이는 분명히 관리자의 의도가 아닌 것 같다는 생각이 들었습니다.
관련 기사 제목 : 안硏, 웹해킹 통한 악성코드 유포 급속확산 경고.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0002162304
신문기사로 본 내용을 이렇게 직접 볼 수 있게되니..
신기하다는 생각이 들었습니다.
xml.htm의 내용을 열어보니 아래와 같은 내용입니다.
HtmlStrings의 내용을 보기위해
24번째 행 document.write()안에 xmp태그를 넣고
IE7로 xml.htm을 실행시켜 봤습니다.
위와 그림처럼 이상하게 표시되었던 문자들이
정상적으로 출력되었습니다.
그리고 개행문자와 스패이스바로 띄어진 부분을
보기좋게 붙혀봤습니다.
뭘하려는지는 몰라도,
예감상... dmx.exe란 파일을 받아와서 실행하고
싶어하는 것 같은 생각이 들어...
dmx.exe파일을 받아서 노턴과 VirusChaser로 검사해봤습니다.
노턴에선 발견되지 않았고,
VirusChaser에서는 Trojan.PWS.Wsgame.6176이란 것으로 발견되었습니다.
--느 낀 점--
* 아래와같은 추가기능 실행여부 창이 나올 때는 실행하지말 것.
* 운영체제는 항상 보안업데이트를 최신으로할 것.
* Flash 플러그인도 항상 최신버전 사용할 것.
* 바이러스 백신사용할 것.
* 스크립트 공부의 필요성 ㅠㅠ
* 바이러스체이서 꽤 쓸만하단 생각...
2008-06-27 18:36:43
사 용 백 신 : 노턴 인터넷 시큐리티 2008/ 바이러스체이서 USB
인터넷 돌아다니다가
s********r.com이 문제있는 사이트라고 들어서 사이트를 돌아다녀 봤습니다.
사이트 링크 몇 군데 돌아다니다가...
------------------------------------------------------------------------------
Microsoft Corporation에서 배포한 MIcrosoft Data Access -Remote Data Services Dat...' 추가기능을 실행하려고 합니다. 이 웹 사이
트와 추가 기능을 신뢰할 수 있고 실행을 허용하는 경우 여기를 클릭하십시오.
------------------------------------------------------------------------------
IE7에서 이말이 상단에 출력되서...
바로 Temporary Internet Files에 들어가서 다운로드된 임시 폴더를
확인해봤습니다.
임시 파일 중 수상한 부분이 발견되었는데...
대부분 다운로드된 임시파일 경로는
s**********r.com 이였지만,
xml.htm이라는 파일은 경로가
h**p://***.230.98.20/xml/xml/xml.htm
위와 같았습니다.
이 xml.htm을 불러오는 부분을 확인하기위해
이전에 엑세스된 파일들을 열어보다가
http://www.s**********r.com/innerMenu.htm란 파일의 내용을 보다가
맨 아래부분의 문제가 있는 부분을 발견했습니다.
----------------------------------------------------------
* innerMenu.htm의 최하단부 내용.
----------------------------------------------------------
위와 같이 iframe태그가 들어있는데..
이는 분명히 관리자의 의도가 아닌 것 같다는 생각이 들었습니다.
관련 기사 제목 : 안硏, 웹해킹 통한 악성코드 유포 급속확산 경고.
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0002162304
신문기사로 본 내용을 이렇게 직접 볼 수 있게되니..
신기하다는 생각이 들었습니다.
xml.htm의 내용을 열어보니 아래와 같은 내용입니다.
HtmlStrings의 내용을 보기위해
24번째 행 document.write()안에 xmp태그를 넣고
IE7로 xml.htm을 실행시켜 봤습니다.
위와 그림처럼 이상하게 표시되었던 문자들이
정상적으로 출력되었습니다.
그리고 개행문자와 스패이스바로 띄어진 부분을
보기좋게 붙혀봤습니다.
뭘하려는지는 몰라도,
예감상... dmx.exe란 파일을 받아와서 실행하고
싶어하는 것 같은 생각이 들어...
dmx.exe파일을 받아서 노턴과 VirusChaser로 검사해봤습니다.
노턴에선 발견되지 않았고,
VirusChaser에서는 Trojan.PWS.Wsgame.6176이란 것으로 발견되었습니다.
--느 낀 점--
* 아래와같은 추가기능 실행여부 창이 나올 때는 실행하지말 것.
* 운영체제는 항상 보안업데이트를 최신으로할 것.
* Flash 플러그인도 항상 최신버전 사용할 것.
* 바이러스 백신사용할 것.
* 스크립트 공부의 필요성 ㅠㅠ
* 바이러스체이서 꽤 쓸만하단 생각...
2008-06-27 18:36:43
피드 구독하기:
글 (Atom)