아베스트 (Avast) 백신 제거 방법




avastclear를 사용하여 소프트웨어를 제거하는 방법


제어판의 프로그램 추가/제거를 사용하여 Avast를 제거할 수 없을 때가 있습니다.

이런 경우 제거 유틸리티인 avastclear를 사용하면 됩니다.


1. 데스크톱에 제거 유틸리티 avastclear.exe 를 다운로드합니다.


- 다운로드 링크 : http://files.avast.com/iavs9x/avastclear.exe


2. Windows를 안전 모드로 시작합니다.


3. 제거 유틸리티를 엽니다(실행).


4. 기본이 아닌 다른 폴더에 Avast를 설치했다면 찾으십시오. 참고: 선택한 폴더의 모든 내용이 삭제되므로 주의하십시오.


5 .제거를 클릭합니다.


6 .컴퓨터를 다시 시작합니다.

'Tip' 카테고리의 다른 글

티스토리 블로그 안뜰때  (0) 2016.12.19
아베스트 삭제 방법  (0) 2015.11.19
모바일웹 테스트  (0) 2015.08.11
크롬 에서 사이트들이 깨져 보일때 :: net::ERR_CACHE_READ_FAILURE  (0) 2015.02.03

3월 11일 윈도우 업데이트 이후 작업하다 작업 표시줄 클릭만 하면 버벅 대면서 한참 후에서야 작동되는 현상 발생!!


별의별 짓을 다 하고 모니터링을 해봐도 이유를 알수가 없었다...


그와중에 검색해보니 동일한 내용으로 마소 포럼에 문의 올린 내용이 있었다!!


해결방법은 


1. KB3032323 제거 

- 제어판 > 프로그램 및 기능 > 설치된 업데이트 보기 에서 해당 업데이트를 삭제 후 재시작


2. 그래도 문제가 있다면


- KB3035527 : Problems occur after you pin and unpin a Win32 app from the taskbar in Windows

- 삭제 후 역시 재시작 해본다.




3. 그래도 문제가 있다면 (이 부분은 마소 포럼중재자 답변은 아닙니다)


- KB3033889 삭제 후 재시작

- 출처 : http://freesoft.tvbok.com/cat97/2015-2016/2015_03_windows_update.html (일본사이트)

- 번역본 : http://jptrans.naver.net/webtrans.php/korean/freesoft.tvbok.com/cat97/2015-2016/2015_03_windows_update.html



--------------------


해당 내용의 마소 포럼 내용은 아래 링크 참고


http://answers.microsoft.com/ko-kr/windows/forum/windows8_1-windows_update/window-81/b5c1e7a0-ba06-4805-95ce-156fe576bcbe



------------------------



해당 내용에 대한 패치가 드디어 나왔습니다.


최근, 일부 PC에서 Windows Update을 통하여 KB3033889 설치 후, Korea IME (and Japanese)사용 시 작업 표시줄과 Explorer.exe 에서 멈춤 증상(hang)이 발생되는 것을 확인 하였습니다.

이 문제는 Japan과 Korea에서만 IME으로 설정 되어 있을 때에만 발생되는 증상으로 확인 되었으며 오늘 날짜로 이와 관련하여 HotFix가 배포 되었습니다.

KB3033889 설치 후 위와 같은 증상이 발생되고 있다면 아래의 방법으로 Hotfix를 다운로드 하여 설치를 진행해 주시기 바랍니다

  1. 아래 링크로 접속하여 Hotfix Download Available 을 클릭 합니다.
    https://support.microsoft.com/en-us/kb/3048778?wa=wsignin1.0
  2. 핫픽스 선택 항목에서 현재 사용중인 운영체제 (Windows 8/ Windows 8.1)을 선택하고 2번에서 핫픽스 링크를 받아 볼 본인의 전자 메일을 입력 합니다.
  3. 핫픽스 요청을 클릭 합니다.
  4. 전자 메일을 통해  "Hotfix download link you requested" 제목으로 온 메일을 확인 합니다.
  5. 메일 하단의 Location:  경로를 클릭하여 핫픽스를 다운로드 합니다.
  6. 파일을 실행하여 압축을 풀 위치를 지정하고 (예:바탕 화면) 압축 해제 합니다.
  7. 압축 해제 후 확인되는 파일을 실행하여 업데이트를 설치 합니다.
  8. 설치가 완료되면 PC를 다시 시작 합니다.
  9. 설치 완료 후 증상을 확인 합니다. 

다시 한번 이 문제로 PC의 이용에 불편을 겪으신 고객님들께 사과 드리며 더 나은 서비스를 위해 노력하겠습니다.

감사합니다. 




MS14-045: 커널 모드 드라이버용 보안 업데이트에 대한 설명: 2014년 8월 12일

 

윈도우7 64bit 에서 가장 문제가 되는듯 하네요.

 

심하면 블루 스크린에... 부팅까지 안되고, 마소에서 직접 삭제 권고까지 할 정도니...

 

 

 

Microsoft는 보안 공지 MS14-045를 발표했습니다. 이 보안 공지에 대해 자세히 알아보십시오.

이 보안 업데이트에 대한 도움말 및 지원을 받는 방법

업데이트 설치 도움말: Microsoft Update 지원



IT 전문가용 보안 솔루션: TechNet 보안 문제 해결 및 지원



Windows 기반 컴퓨터 Windows를 바이러스 및 맬웨어로부터 보호: 바이러스 솔루션 및 보안 센터



지역별 지원 정보: 국가별 지원

 

 

 

이 보안 업데이트의 알려진 문제

  • 알려진 문제 1
    이 보안 업데이트를 설치한 후 기본 글꼴 디렉터리(%windir%\fonts\)가 아닌 위치에 설치된 글꼴을 활성 세션에 로드하는 경우 이 글꼴을 변경할 수 없습니다. 이러한 글꼴을 변경, 대체 또는 삭제하려는 시도가 차단되고, "사용 중인 파일" 메시지가 나타납니다.

    자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.
    글꼴 설치 및 삭제
    AddFontResource 함수
    AddFontResourceEx 함수
    RemoveFontResource 함수
    RemoveFontResourceEx 함수


  • 알려진 문제 2
    Microsoft는 다음 업데이트를 설치한 후 글꼴이 제대로 렌더링되지 않는 문제를 조사하고 있습니다.
    2982791 MS14-045: 커널 모드 드라이버용 보안 업데이트에 대한 설명: 2014년 8월 12일
    2970228 Windows에서 러시아 루블에 대한 새로운 통화 기호를 지원하기 위한 업데이트 (영어로 표시될 수 있습니다)
    2975719 Windows RT 8.1, Windows 8.1 및 Windows Server 2012 R2에 대한 2014년 8월 업데이트 롤업
    2975331 Windows RT, Windows 8 및 Windows Server 2012에 대한 2014년 8월 업데이트 롤업
    상태
    이러한 문제에 대한 조사가 진행되는 동안 해당 업데이트에 대한 다운로드 링크를 제거했습니다.

    완화
    제어판에서 프로그램 및 기능 항목을 열고 설치된 업데이트 보기를 클릭합니다. 다음 중 현재 설치된 업데이트를 모두 찾아 제거합니다.
    • KB2982791
    • KB2970228
    • KB2975719
    • KB2975331
  • 알려진 문제 3
    Microsoft는 다음 업데이트를 설치한 후 0x50 중지 오류 메시지(버그 확인)가 표시되고 시스템 작동이 중단될 수 있는 문제를 조사하고 있습니다.
    2982791 MS14-045: 커널 모드 드라이버용 보안 업데이트에 대한 설명: 2014년 8월 12일
    2970228 Windows에서 러시아 루블에 대한 새로운 통화 기호를 지원하기 위한 업데이트 (영어로 표시될 수 있습니다)
    2975719 Windows RT 8.1, Windows 8.1 및 Windows Server 2012 R2에 대한 2014년 8월 업데이트 롤업
    2975331 Windows RT, Windows 8 및 Windows Server 2012에 대한 2014년 8월 업데이트 롤업
    이 조건은 영구적일 수 있으며 시스템이 제대로 시작되지 못하게 할 수 있습니다.

    상태
    이러한 문제에 대한 조사가 진행되는 동안 해당 업데이트에 대한 다운로드 링크를 제거했습니다.

    완화
    1. 안전 모드에서 컴퓨터를 다시 시작합니다.
      • Windows 7
      • Windows 8 및 Windows 8.1:
        1. Windows 8.1용 설치 미디어(예: DVD 또는 USB)가 있는 경우 설치 미디어를 사용하여 컴퓨터를 시작합니다. DVD 또는 USB 플래시 드라이브를 넣고 컴퓨터를 다시 시작합니다. "DVD에서 부팅하려면 아무 키나 누르십시오."와 같은 메시지가 표시되면 다음을 수행하십시오. 이러한 메시지가 표시되지 않는 경우 컴퓨터가 DVD 또는 USB로 먼저 시작되도록 컴퓨터의 BIOS 설정에서 다시 시작 순서를 변경해야 할 수 있습니다. Windows 설치 페이지가 표시되면 컴퓨터 복구를 클릭하여 Windows 복구 환경을 시작해야 합니다.
        2. 미디어가 없는 경우 전원 단추를 사용하여 시작 프로세스 중에 컴퓨터를 세 번 다시 시작해야 합니다. 그러면 Windows 복구 환경이 시작되어야 합니다.
        3. 컴퓨터가 Windows 복구 환경에서 시작되자마자 옵션 선택 화면에서 문제 해결을 탭하거나 클릭합니다. 시작 설정 옵션이 표시되지 않는 경우 고급 옵션을 탭하거나 클릭합니다.
        4. 시작 설정을 탭하거나 클릭한 다음 다시 시작을 탭하거나 클릭합니다.
        5. 시작 설정 화면에서 원하는 시작 설정을 선택합니다. (안전 모드는 4를 누릅니다.)
        6. 관리자 권한이 있는 사용자 계정을 사용하여 컴퓨터에 로그인합니다.
    2. fntcache.dat 파일을 삭제합니다. 이렇게 하려면 명령 프롬프트 에서 다음 명령을 입력하고 Enter 키를 누릅니다.
      del %windir%\system32\fntcache.dat
    3. fntcache.dat를 삭제한 후 컴퓨터를 다시 시작합니다. 이제 컴퓨터가 시작되어야 합니다.
    4. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
    5. 레지스트리에서 다음 하위 키를 찾아 클릭합니다.
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Fonts\ 
    6. Fonts 레지스트리 하위 키를 마우스 오른쪽 단추로 클릭한 다음 내보내기를 클릭합니다.
    7. 내보낸 reg 파일에 대한 이름을 입력하고 이 파일을 저장할 위치를 선택합니다. 나중에 이 파일을 사용하여 다음 단계에서 제거되는 글꼴 등록을 복원합니다.
    8. reg 파일을 저장한 후 Fonts 레지스트리 하위 키 아래에서 다음 조건을 충족하는 데이터 필드에 대한 레지스트리 값을 찾습니다.
      • 파일 이름만 있는 것이 아니라 전체 파일 경로가 포함됨
      • 전체 파일 경로가 ".otf" 확장명으로 끝납니다. (이 확장명은 OpenType 글꼴 파일을 나타냅니다.) 
        그림 축소그림 확대
        OpenType 글꼴 파일
        그림 확대를 위해 클릭하시기 바랍니다
    9. fntcache.dat 파일을 다시 삭제합니다. (그러면 이 파일이 다시 만들어집니다.) 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
      del %windir%\system32\fntcache.dat
    10. 제어판에서 프로그램 및 기능 항목을 열고 설치된 업데이트 보기를 클릭합니다. 다음 중 현재 설치된 업데이트를 모두 찾아 제거합니다.
      • KB2982791
      • KB2970228
      • KB2975719
      • KB2975331
    11. 컴퓨터를 다시 시작합니다.
    12. 앞서 저장한 reg 파일을 찾고 이 파일을 마우스 오른쪽 단추로 클릭한 다음 병합을 클릭하여 이전에 제거한 글꼴 레지스트리 값을 복원합니다.

      참고 문제가 되는 업데이트가 제거되었으므로 해당 레지스트리 값을 안전하게 다시 추가할 수 있습니다. 

 

 

기술 자료: 2982791 - 마지막 검토: 2014년 8월 19일 화요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Windows 8
  • Windows RT
  • Windows Server 2008 R2 Service Pack 1 을(를) 다음과 함께 사용했을 때
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
    • Windows Web Server 2008 R2
    • Windows Server 2008 R2 Foundation
  • Windows 7 Service Pack 1 을(를) 다음과 함께 사용했을 때
    • Windows 7 Ultimate
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Home Premium
    • Windows 7 Home Basic
    • Windows 7 Starter
  • Windows Server 2008 Service Pack 2 을(를) 다음과 함께 사용했을 때
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
    • Windows Server 2008 Foundation
    • Windows Server 2008 for Itanium-Based Systems
  • Windows Vista Service Pack 2 을(를) 다음과 함께 사용했을 때
    • Windows Vista Ultimate
    • Windows Vista Enterprise
    • Windows Vista Business
    • Windows Vista Home Premium
    • Windows Vista Home Basic
    • Windows Vista Starter
  • Microsoft Windows Server 2003 Service Pack 2 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
키워드: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB2982791

 
윈도우 7 트라이얼 버전이 나왔군요~

특별한 시리얼키는 없고, 설치만 하시면 되겠네요~ 90일 트라이얼 ~

가입하시고 64bit 한국어 버전 다운 ㄱㄱ~

설치해보고 싶지만... 집에 노트북 상태가 영 이상하다....

다운로드 :  http://technet.microsoft.com/ko-kr/evalcenter/cc442495.aspx

'정보공유' 카테고리의 다른 글

웹표준(1)  (0) 2009.10.13
Microsoft Offers 90 Day Trial of Windows 7 Enterprise  (0) 2009.09.21
블루웹 배너 달고 월급받자~!  (0) 2009.08.03
RISE V3  (0) 2009.05.22

윈도우 비스타의 뒤를 잇는 윈도우 7이 2010년 초에 발표될 예정이다. 물론 이런저런 소문으로 미뤄볼 때, 마이크로소프트는 출시일을 당기고 싶어하는 것 같다. 하지만 비스타 커널을 재정의한다는 것 외에 마이크로소프트는 아직까지 새로운 운영체제의 세부적인 사항에 대해 그다지 많이 공개하지 않은 상태이다. PDC에서 배포된 프리베타로 볼 때 마이크로소프트는 새로운 운영체제의 모습을 공개하는데 상당히 신중한 것으로 생각된다.

사이드바는 가고 가젯은 남고

윈도우 7에서는 사이드바가 없어졌다. 하지만 가젯은 살아남았다. 가젯은 사용자가 원하는 위치에 마음대로 배치할 수 있다.

일반 작업으로 바로가기

태스크바와 시작 메뉴에 점프 리스트가 포함되었다. 최근 사용한 파일이나 자주 사용한 파일 등 특정의 애플리케이션과 관련된 기능을 상황에 따라 실행할 수 있다.

디바이스 스테이지 : 원스톱 하드웨어 정보

디바이스 스테이지는 특정 하드웨어에 대한 모든 정보를 모아놓은 새로운 기능으로, 단일 창에서 이들 모든 정보에 액세스할 수 있다. 하지만 하드웨어 장비업체가 마이크로소프트의 템플릿에 따라 XML 문서를 작성하고 승인을 받은 경우에만 이용할 수 있다. 다행인 것은 비스타용 드라이버를 만든 업체라면 쉽게 만들 수 있다는 것.

다른 위치의 콘텐츠를 모아주는 라이브러리

윈도우 7은 라이브러리 기능을 도입했는데, 가상 폴더를 이용해 관련된 콘텐츠를 현재의 저장 위치에 관계없이 한자리에 모아놓을 수 있다. 사용자의 PC 뿐만 아니라 네트워크 상의 콘텐츠도 상관없다. 초기 설정으로 문서 형식에 따라 몇 가지 기본 라이브러리가 포함되는데, 실제로 사용자가 설정할 수 있는 라이브러리의 폭은 매우 넓다.

보안 설정폭이 넓어진 UAC

비스타의 악명 높은 UAC(User Account Control)가 소문대로 많이 향상되었다. 이제 사용자가 보완 경고를 보낼 위험을 선택할 수 있다.

성가신 시스트레이 풍선을 대체한 윈도우 솔루션 센터

시스템 문제를 알려주는 성가신 메시지 대신 윈도우 솔루션 센터를 통해 사용가 원하는 시간에 문제점을 확인할 수 있다.

네트워크 상의 PC 검색 지원

연합 검색(Federated Search) 기능을 통해 네트워크로 연결된 다른 PC의 자료도 검색할 수 있다.

손쉬운 사용자 지정 테마 생성

윈도우 7은 데스크톱 테마 설정과 관련해 좀더 매끄러운 인터페이스를 도입했다. 이 기능은 정식 출시에는 “스타일” 기능으로 이름이 바뀔 예정이다.

돋보기 기능

새로운 화면 확대 기능으로 화면의 일부를 확대해 볼 수 있다.

바탕화면 정리

여러 가지 창을 띄워놓고 작업을 하는 사람들은 종종 원래의 깨끗한 바탕화면으로 돌아가야 하는 경우가 있다. 태스크바 오른쪽 끝에 있는 버튼이 바로 그것이다. 하지만 기존 창들의 윤곽이 그대로 남아 있어 바탕화면과 현재 열린 창들을 한꺼번에 볼 수 있다.

멀티미디어 스트리밍 라우팅

윈도우 7은 음악이나 비디오를 홈 네트워크 상의 PC에서 인터넷 상의 스트리밍 디바이스로 라우팅할 수 있다.

경량화된 윈도우 미디어 플레이어

윈도우 7의 미디어 플레이어는 한층 효율화된 버전이 탑재되어 쓸데없는 기능으로 사용자를 압도하거나 화면 전체를 차지하지 않는다.

윈도우 미디어 플레이어 점프 리스트

미디어 플레이어의 점프 리스트로 최근 재생한 파일로 바로 갈 수 있다.

리본 인터페이스의 확장

윈도우 7의 기본 이미지 애플리케이션도 오피스 2007부터 마이크로소프트가 밀고 있는 리본 툴바 인터페이스가 적용되었다. 워드패드도 마찬가지다.

향상된 계산기

계산기도 새단장을 했다. 한층 믿음직한 모습이다.

배러티 수명 확인 기능

노트북 사용자를 위한 향상된 배터리 수명 확인 기능을 제공한다.

출처 : idg.co.kr

'퍼담기' 카테고리의 다른 글

Marry Me  (0) 2008.12.29
MS 윈도우7 공개  (0) 2008.10.30
WRATH of the LICH KING  (0) 2008.08.27
Listen  (0) 2008.08.26
1. Microsoft Baseline Security Analyzer란?

Microsoft Baseline Security Analyzer는 Windows 2000/XP/2003 기반 시스템의 보안상 안정성을 최신의 상태로 유지하고 있는지 점검하는 것을 도와주는 응용 프로그램으로 로컬 시스템 또는 둘 이상의 시스템을 검색하여 누락된 보안 패치, weak password, Internet Explorer 및 Outlook Express보안 설정, Office의 매크로 보호 설정 등에 대한 보고서를 XML형식의 파일로 저장하고 리포팅한다. 또한 점검된 시스템의 현재 보안 문제, 그리고 문제의 수정 방법에 대한 정보와 관련 사이트 링크를 제공한다.

MBSA는 Windows 2000/XP/2003로 구성된 네트워크의 오버헤드 감소, 관리자로 하여금 네트워크의 보안 상태를 한눈에 파악할 수 있게 하고 일반 사용자에게는 자신이 사용하는 시스템에 대한 문제점 점검 및 보완 손쉽게 할 수 있도록 인터페이스를 제공한다.


[그림1] Microsoft Baseline Security Analyzer

2. MBSA 설치 및 고려 사항

MBSA 설치 시 고려해야 될 사항은 크게 3가지로 요약할 수 있다.

(1) 권한 문제

Windows 2000/XP/2003에서는 계정마다 적절한 권한 설정을 통해서 시스템에서 행할 수 있는 작업의 범위를 제한할 수 있는데 MBSA를 시스템에 설치하기 위해서는 administrators 그룹의 구성원 이거나 Administrator와 비슷한 권한을 가진 사용자만이 설치/사용을 할 수 있다. 만약 권한이 부족할 경우 아래와 같은 에러 창을 출력하며 설치할 수 없게 된다.


[그림2] 권한 관련 에러

(2) 사용자의 범위

MBSA는 설치 시 아래와 같이 두 가지 모드 중 하나를 선택하도록 되어 있다.


[그림3] 설치 옵션

설치 후 MBSA를 사용해 보면 알겠지만 MBSA는 시스템의 보안에 관련된 중요한 데이터를 추출해 내고 XML파일로 저장한다고 언급했다. 만약 “Anyone who uses this computer”를 선택하게 되면 누구든지 MBSA를 사용할 수 있고 MBSA를 통해 출력된 시스템의 보안 데이터를 악용할 수 있는 소지가 있기 때문에 “Only for me”를 선택하는 것이 보안상 안전하다.

위의 두 가지 사항을 고려해 본다면 오직 시스템의 administrator만이 설치/사용할 수 있도록 해야 한다.

(3) 백신의 오진문제


[그림4] 백신의 오진 화면


MBSA는 스크립트로 구성되어 있기 때문에 백신에서 악성 스크립트로 오진할 수 있는 가능성이 있다. 이는 백신의 악성 스크립트 차단 기능(또는 유사한 기능)때문이므로 백신의 옵션 설정을 통해서 문제를 해결할 수 있다.


3. 점검 및 분석

(1) 점검

MBSA를 실행하면 아래와 같은 옵션을 볼 수 있다.

  • Scan a computer(= Pick a computer to scan)
  • Scan more than one computer(= Pick multiple computers to scan)
  • View existing security reports(= Pick a security report to view)

    로컬 시스템을 점검할 것이기 때문에 “Scan a computer”을 선택, Computer name와 IP address의 두 가지 방법 중 하나를 선택한 후 Start Scan을 클릭한다.


    [그림5] Microsoft Baseline Security Analyzer 설정

    (2) 분석


    [그림6] MBSA의 분석 결과

    MBSA의 분석 보고서는 C:\Documents and Settings\Administrator\SecurityScans에 저장된다. 보고서는 Security Update Scan Results, Windows Scan Results, Additional System Information, Desktop Application Scan Results 등 총 4개의 메뉴로 구성되어 있으며, 그 중에서 가장 주의 깊게 살펴봐야 할 부분은 Security Update Scan Results, Windows ScanResults 이다.

    Security Update Scan Results는 OS, IIS Server, MS SQL Server, Exchange Server의 보안 패치와 관련된 정보를 리포팅하는 곳으로 만약 아래 그림처럼 보안패치가 안된 부분이 발견되었을 경우 그에 대한 자세한 내용과 함께 패치를 다운로드할 수 있는 링크가 포함된 정보를 제공한다.


    [그림7] Security Update Scan Results

    Windows Scan Results는 시스템의 자체 보안 설정(Password, 사용자 계정, SMB 관련)에 대한 문제점을 리포팅하고 해결방안을
    제시한다.


    [그림8] Windows Scan Results

    RestrictAnonymous 부분에 대해서 살펴 보자.

    RestrictAnonymous란 Null Session을 통해 민감한 정보의 목록화(Enumeration)를 막는 기술로 MS가 제공하며레지스트리를 통해서 수정할 수 있다. 기본적으로 0으로 설정되어 있을 것이다.


    [그림 9] 레지스트리 편집


    보안 레벨
    0 없음, Default Permission에 의존
    1 SAM 계정과 이름에 대한 목록화 허용 불가
    2 명확한 익명 퍼미션이 없으면 어떤 접속도 불가
    [표1] RestrictAnonymous 값

    공격자는 목표 시스템에 공격을 수행하기 전에 사전 정보 수집을 통해서 공격 방법 및 강도를 결정한다. 만약 목표 시스템이 Windows 2000/XP/2003계열로 확인되었다면 SMB를 통해서 null session을 맺은 후 목록화(Enumeration)를 통해서 목표 시스템의 중요한 정보를 추출할 것이다.


    [그림10] *n*m을 이용한 목표 시스템의 목록화(Enumeration)

    RestrictAnonymous=1로 설정한 후 테스트한 결과 아래 그림에서처럼 액세스 불가란 메시지가 출력된다.


    [그림 11] RestrictAnonymous=1로 설정된 시스템에 목록화 시도

    RestrictAnonymous=1로 설정된 시스템에 대한 목록화가 실패했다고 해서 공격자는 목록화를 포기할 것인가? 필자의 대답은 No이다. 비록 RestrictAnonymous=1로 설정되어 있다하더라도 이것을 우회하여 목록화를 성공할 수 있는 도구들이 많다.

    관리자(administrator)의 계정을 다른 이름으로 변경하는 것은 보안 기본 수칙이고 사용자들도 변경하면서 내 시스템의 관리자 계정은 안전할 것이라 믿는다. 그렇다면 과연 안전할까?

    물론 변경하는 것이 안했을 때 보다 공격자로부터 좀 더 안전하겠지만 공격자는 다른 방법을 강구할 것이고 결국은 관리자 계정의 정보를 알아낼 것이다. [그림 12]를 보면 그것이 공격자에게는 얼마나 쉬운 일인지 보여 준다.


    [그림 12] 변경된 관리자의 계정 정보


    [그림 13] 관리자의 SID 정보

    마지막 하이픈 뒤에 나오는 숫자열을 관계 식별자(RID)라 하는데, 내장 NT/2000/2003사용자와 administrator나 guest와 같은 그룹에 미리 정의되어 있다. 예를 들어, administrator의 RID는 항상 500이고 guest는 501이다. 로컬 시스템이나 도메인에 생성되는 첫 번째 계정은 1000으로 할당되고, 뒤에 생성되는 계정은 각각 연속적인 다음 숫자를 갖는다는 것이다.(1001, 1002, 1003등등...) 따라서 한번 SID가 노출되면 공격자는 기본적으로 시스템의 모든 사용자와 그룹을 목록화(Enumeration)할 수 있다.

    그렇다면 대응방법은 무엇인가?

    1) 레지스트리를 통해 자신의 시스템 환경에 맞게 RestrictAnonymous값을 적절히 설정하라.

    만약 RestrictAnonymous=2로 설정하는 것은 목록화를 효과적을 차단하지만 다른 응용 프로그램이나 2000계열 이전 버전의 윈도우와 연결 상의 문제가 발생할 수 있다.


    [그림 14] RestrictAnonymous=2로 설정한 후 목록화 시도

    2) SMB 서비스를 차단하라.

    SMB서비스가 필요 없는 시스템인데도 불구하고 많은 시스템이 SMB가 활성화된 채 사용되고 있다. 꼭 필요한 것이 아니라면 SMB서비스를 사용하지 않아야 한다. 강조하지만 필요 없는 서비스를 방치하는 것은 공격자에게 그 만큼 시스템에 침투할 수 있는 기회를 제공하는 것이다.


    [그림 15] SMB 서비스 Disable 1

    [그림 15]에서 보는 것과 같이 TCP/IP에서 NetBios 사용 안함으로 설정함으로써 시스템의 SMB 접근을 성공적으로 차단했다고 생각하지만 이것은 잘못된 것이다. 왜냐면 위의 설정은 단지 TCP 139번만 차단한 것이므로 TCP 445번 포트를 통한 목록화에 대해서는 여전히 취약하다. 따라서 [그림 16]에 보이는 것처럼 Microsoft 네트워크용 파일및 프린터 공유란을 체크해제 한다.


    [그림 16] SMB 서비스 Disable 2

    3) TCP 또는 UDP 135 ~ 139 그리고 445번 포트로 유입되는 트래픽을 제한하라.

    가장 확실한 방법은 네트워크나 개별 호스트들에서 방화벽을 사용해서 TCP 또는 UDP 135 ~ 139 그리고 445번 포트로 유입되는 신뢰할 수 없는 트래픽의 유입을 차단하는 것이다.

    4. 맺음말

    우리가 사용하는 응용프로그램은 사람에 의해 제작되기 때문에 자잘한 버그에서부터 보안상 위험한 버그에 이르기까지 많은 버그를 내포하고 있을 수 있다. 이에 벤더들은 패치나 별도의 서비스 팩을 통해서 발견된 버그를 보완하고 사용자들에게 패치를 하도록 권고하고 있다.

    그렇다면 사용자들은 각 벤더의 권고에 따라 자신이 사용하는 응용프로그램의 버그에 대해 숙지하고 패치를 잘 하고 있는가? 필자의 생각은 아니다. 아직도 다수의 사용자들이 보안 툴 사용 및 패치에 대해 소극적이며 외형만을 중요시하고 있는 것 같다.

    블래스터 웜의 경우 2003년 8월 13일 최초로 발견/보고(그 전부터 RPC 결함을 이용한 웜이 등장할 것으로 예상하고 여러 보안 사이트에서 이를 경고함.)되었고 피해는 감소했지만 여전히 사용자들을 괴롭히고 있고 동일한 RPC결함을 이용한 agobot웜 또한 사용자들을 괴롭히는데 한 몫하고 있다.

    Blaster나 Agobot 웜처럼 OS나 다른 응용프로그램의 결함을 이용하는 악성코드들이 증가할 것이다. 따라서 이러한 위협을 줄이기 위해서는 각 벤더들은 좀 더 안전한 응용프로그램을 만들도록 노력해야 하고 사용자들은 패치 및 보안 툴 사용하여 사전에 예방하는 습관을 길러야 한다.
  • '정보공유' 카테고리의 다른 글

    AI Robot Technology  (0) 2008.06.04
    Microsoft Baseline Security Analyzer  (0) 2008.06.02
    게임사용자 정보 노린 악성코드 확산  (0) 2008.05.29
    메모리해킹  (0) 2008.05.07

    + Recent posts

    티스토리 툴바