어둠의 os 시스템-원격조정방지 강구-up002

작성자 Lab value :

● 설치가 일사천리로 진행되어 편해서 깔았지만, 그래도 어둠속의 누군가가
내 시스템 상황을 지켜보고 레지스트리를 마음대로 수정하고 파일도 삭제하고 하는 것을
그저 방관만 하기에는 영 찜찜해서 결국

조금 보완방법을 찾아 봤다..

물론 본인이 os 나 컴 전문가가 아니기에 주변의 도움을 받고
해서
일단 시스템이 망가질 각오를 하고 usb -pe 와
기존 시스템 파티션 상황을 하나 ghost 로 백업도 받아두고

- 하나 더 별도 파티션에 설치해서 이중 부팅한 상태에서
이전에 설치된 os의 시스템 폴더

c:\Documents and Settings\
c:\Program Files\
c:\WINDOWS\

c:\boot\
c:\Programdata\
c:\users\
c:\recovery\

그리고 c:\ 에 깔려 있는 시스템 파일들을 페이지 파일( pagefile.sys hiberfil.sys)만 빼고

일단 별도로 c:\backup 폴더를 만들어 복사해 넣어 두었다.

c:\boot\
c:\Programdata\
c:\users\
c:\recovery\

○ 위의 폴더들은 win7 등을 설치한 경우 나타나는 시스템 폴더인데 xp 사용자는 해당사항이 없다..

그리고 일단 이들 backup 폴더만 보호하도록
shadow defender 를 깔아서 시스템 보호조치를 만들고
테스트할 시스템 폴더만 예외조치를 취해 놓았다.

사실 이렇게 까지 중첩보호장치를 마련할 필요는 없다고 할 것인데..

근래 해커의 소행이 아주 노골적이고 비신사적인 행태로 나와서,,,
초보자의 마음이 놀란 가운데 여려 가능한 대비책을 세우고 ....테스트를 진행했는데

계획은
시스템 사항을 변경시키다.
원래 윈도우가 사용이나 부팅이 안되도록 망가지면
1차적으로는
다른 멀티 부팅 os 로 부팅한 후
이 폴더를 서로 맞바꾸어 move 시키고 난 후 다시 부팅하면
이전 상태로 돌아온다고 해서,,1차적으로 임시적 복구방안을 만들어 둔 것이다.

고스트 백업과 원리는 같은데
복사시간이 고스트 백업만큼 걸리지만
복구 시간은 오히려 짧다고 해서
시스템 테스트 작업전에 한 번 해 놓고,,,

이것도 안되면

○ 다시 usb pe 로 부팅하던지 또는 부팅되는 다른 멀티 부팅 os 로 들어가
고스트 백업 받은 것으로 다시 파티션을 복구하던지,,해서
원래의 os를 바로 복구할 준비를 갖추고,,

( 의외로 힘들어용~~)

● 어둠의 경로로 받은 os 의 원격조종 체계를 바꿔 보려고 시도해봤다..

사실 에러가 나면 귀찮기 때문에 하나씩 두개씩 바꾼 다음에 재부팅 해보고 했는데

컴 전문가가 아니기 때문에 일단 내컴퓨터-관리- 서비스 항목 옆에 나오는 설명을 보고

본인상황과 관련 없고, 그러나 원격조종과 관련이 깊다고 보이는 항목들을 정지시켰다.

처음에는 그냥 해당 항목의 시작부분을 정지로만 바꾸면 정지되는 줄 알았는데
다시 부팅하고 또 확인하면 또 다시 해당항목이 살아나 있고
또 정지시키고 다시 사용하다 확인해보면 또 살아나 있어서,,

이것 이상하다 생각하고
여하튼 속성탭을 건들어서 사용중지 옵션을 선택해 중지시키니
겨우 정지되는 것을 발견했다..( 언제 다시 살아날지는 몰라용,,)

일단 수십개를 변경시켜서 테스트를 해보았는데
인터넷 접속까지 정상 작동되는 것을 일단 확인하고 보고를 해야 될 것 같아서,,,

●` 사용자에 따라서는
일정시간에 예약해두고 프로그램 등을 자동 실행시킨다던지
usb 매체를 꼽을 때마다 막 스캔해서 이것 사용하실래요 물어보는 것을 좋아한다던지,,
인터넷을 통해 사무실에 있는 컴퓨터를 집 컴퓨터에서 조종하면서 사용한다던지
아니면 사무실 컴퓨터의 레지스트리 시스템 사항을 집에서 바꾸면서 사용한다던지
하는 것을 필요로 하거나 좋아할 수도 있겠지만,

본인하고는 아무 관련도 없다고 보이기에 무조건 정지시켰다..

또 내컴퓨터의 속성-원격 탭에서도 원격과 관련한 사항은 모두 체크 해제시켰는데

이렇게 한다고
이 상태에서 해커가 완전히 조종 리모콘으로 내 시스템을 조종하며 관찰하며 변경할 수 없게 되었다고
확신할 수는 없지만, 그러려니 하고 사용하려고 했는데
그것보다는 조금은 더 낫지 않겠나 싶다.

궁금하더라도 누군지도 모르는 해커를 찾아가 물어 볼 수는 없쟎아요~~~? 아직도 조종 되용???
~~그런데 왜 무엇이 궁금하세용,,,게임하는 방법? ...

여하튼 설명만 보고 많이 변경시킨 후에 다시 부팅해 사용하는데
이전처럼 사용자계정 만들어 로그인 하게 만들고 암호 넣고 ,,, 폴더의 보안 탭 권한 내용 변경시키고
하는 것과는 달리

윈도우가 사망 붕괴되지는 않고 정상작동된다..그렇다고 전문가 아닌 절 너무 믿지는 마시길,,

그리고 각기 깔려 있는 os 나 시스템 프로그램 및 하드웨어 등 개인 사정이 다 다르므로
일률적으로 이것이 방법이다..라고 소개해드리기는 곤란하다고 봅니다.

다만 전처럼 로그인 하나 만들어 보안 체계를 강화시키려다
시스템이 완전히 사망 붕괴, os 재설치 불가 등등의 연속 공황상태로 이어지지는 않기에 그나마 다행이라고 봅니다..

그래서 어떤 항목들을 정지시켰는지 보고하려니
너무 많이 바꿔서 일일히 기억할 수도 없고
일단 현재 정상 작동되는 상태를 캡쳐하고
변경 과정도 캡쳐해서 보고를 드립니다...
( 사실은 이것 올려 놓고 다른 컴도 변경시켜 보려고~~^^)

다만 어디까지나 이렇게 바꾸었다고,,

해커의 리모콘 조종이 불가능하게 됬다고 확신할 수 있다거나,
또 해커가 재침투 기도를 완전히 포기했다거나,

그렇게 볼 수는 없다고 봅니다,,

다만 조금 대비하고 사용하면
해커도 바쁘니까...
그냥 쉽고 영양가 많고 그런 곳을 찾아다니지 않겠습니까..

희망사항이지만,,

사실 원칙적인 방법이 따로 있습니다..

개인 사생활이 이미 기초정보가 다 노출된 상태지만,
추가적으로 개인정보는 더 이상 노출시키지 않도록
개인 보안 관련 사항을 컴퓨터에서 작업을 피하거나,,

랜선을 아예 뽑고
시스템 보호장치가 된 상태에서 비교적 깨끗한 상태로 부팅하고 사용하고
다시 부팅하고 ( 무슨 스파이 같습니당,,,)

인터넷은 앞으로 글 올릴 때만 한 3분
연결해 올릴 예정입니다...

노트북에서는 무선랜이 뽑고 끌 수 있는 것이 아니라 내장되어 있어서
단축버튼으로 켜고 껏는데 아무리 해도 안꺼지는 현상을 목격하고 나서,,
이것이 해커분의 장난이라면 대단하구나,,이렇게 생각이 들기에

앞으로 조심 모드로,,살려고 합니당,,,

--

>>>

그나저나

그나 저나 그간 몇몇 포탈이나 사이트에서
공부하고 참조할 자료좀 받은 것이 무슨 범죄행위라고,,
이 관리자분들이 원한을 품고 쫒아다닐까요?
그런 것은 아닐 것 같고

또 다른 게임 사이트나 그런 곳이라고 해도
정당하게 이용하고필요한 자료많이 다운 받아 갔다고
사용자 컴퓨터 해킹하고 그럴까요?

그것도 아닐 것 같은데
여하튼 그런 이유로
사용자 컴퓨터 시스템 망가뜨려가면서 괴롭히면
그것이 바로 회사를 위하는 길이 아니라 회사를 곧바로 파산시키는데 도움되는 길일 것 같은데

정상적인 경우라면
일단 그럴 가능성은 적다고 보고,,

그것도 아니면 최근 초청장을 보낸 평소 비정상적으로만 일관해서 살아가는
일본분 야한 상이 관리하는 사이트들일까요?

아니면 어떤 적성국가 스파이가,,
제가 글 올린 블로그의 페이지에서 프로필을 사진들을 잘못 보고
혹시가상 포토샵 처리로 사진을 붙여 미인이 아니면서도 미인으로위장한 tok님을 노리고
tok님ip 주소를내 컴으로 오해하고 정보를 캐내 tok 님을 납치하려고??

( 해커에게는 최악의 시나리오~~)

여하튼
해킹자들이 범죄조직이나
적성국의 스파이들과 만에 하나 관련이 되어 있다면,

어느날 이 글을 보고 분개하여
제 컴에 들어 있던 주소지를 향해 독침을 들고 나타나

불시에 찌르고 사라지거나
여러 해커들이 단체로 나타나옥상으로 끌고 가 떨어뜨리고
자살로 위장시키고 사라질 수도 있다고 상상하니,,

여하튼 앞으로 어떤 경우인가에 따라,
제 신변이 갑자기 위험에 닥칠 수도 있다고 보고,

일단 간단히

그간의 경과과정,,
주요 자료 수집처,,
보잘 것없는 파일들( 개인적으로 소중한데 음악, 야한 상의 선물들,,참고 자료들)
애들 볼까봐, 3중 장치로 잠근 것도 있는데,,,)
여하튼 다 문화유산이니, 나중에 적정시기에 필요할 때 열어 보는 방법

친구 친척 가족들에게 전할 유서도 작성해 몇명에게 전해 주고

언제 불시에
온라인 해커가 온라인 형태나
또는 오프라인 형태로 다시 나타나더라도
당황하지 않고 대처하고자 노력하고
여러 가능성에 대비중입니다..

그러니까 머리 나쁘다고
기본 신상 정보에 관련한 내용이나 사진 파일를
다 모아컴에다 넣어 두면
지금과 같은 상황에서는 왠지 불안해진다니까요,,,

원래
지피지기면 백전 백승이라는데

본인은 해커가 누군지도 모르는데
해커는 다 알고 있다는 것이
약간 소름 돋음,,,,

그래서 혹시라도 온- 오프라인 해커가 침투해
제가 불행한 사태에 처하게 되면

제 사후--- 장례 처리도 부탁하고,,
기타 여러가지 가능성에 대비를 갖추면서 살아가는 중입니다.

그러나
꼭 이런 일 아니어도
유서는 한 장 씩 써보는 것이
정신 건강에 좋다고 봅니당,,,

가끔씩 시간내서 쓰는 것이므로 너무 이상하게 생각하진 마세용,,
왜 그만일로 왠 호들갑인가..제 유서를 받은 분들이 옆에서 그러는데..
당사자들이 아니니까 그렇습니당,,

>>>
그리고 이번 경험을 바타으로

참고로 저도 os 하나 만들어 보려고 계획중입니다..
이름하여 lab-os

사실 윈도우에서 제공하는원격조정 시스템 방안이나,

여기저기서 침투해 들어오는 트로이 목마 프로그램이나
그 원 이념은 사실 비슷하다고 봅니다.

즉 내컴퓨터 장소에 구애받지 않고
멀리서도 내 컴퓨터 언제나 편하게 사용하자는 것인데,,

뭐든지 그렇지만, 사용자와 사용목적 취지 수단 방안 그런 것이
내용이 안 좋기 때문에 문제되는 것이 아닌가 합니다..

그래서 앞으로 제가 만들 os 는

이번처럼 원격조정 방안이 좋기는 좋은데
이것을 해커가 이용할 가능성 때문에 문제되고
해커가 또 수정해서 사용하는 것이 문제 아닙니까..

결국 믿을 사람은 저 밖에 없다고 저 혼자 생각해보면서,,

제 os가 처음 실행되는 그 순간,,
비밀 암호가 풀리면서,,,
안테나를 쓱 내미는 것입니다..

그것뿐입니다..

그리고 수신이 되면 수신된 대로 일을 마치고

사용을 다 마치고 꺼지기 직전에
안테나나 모든 사용파일들이 다 삭제되어서 없어집니다..

그리고 제 os 니까 어디서든지 별도의 송신 프로그램을 작동시켜서
수신이 되는 컴퓨터로 접속해서
오직 좋은 목적으로만 사용하고,,
그러는 겁니다..

어디까지나 제 os 니까 신경쓰지 마세용,,~~

다른 사무실의 제 보조자들이 원격조종 탭을 만지든 그것과는 하등 관계없이
제 os에 대한 지배권을 침해받지 않겠다는 구상입니다..

제가 개발이 완료되면 꼭 이 os 를 원하는
친한 분들에게는 하나씩 무료로 나눠드릴테니
기대해주세용,,,

제 os의 비밀 핵심장치는 결코 변경사용 금지~~

os최초 실행시에 장치된 비밀 장치를
어떤 이가 너무 궁금해 열어보려는 즉시
그 시도를 한 시스템이
자동 삭제, 붕괴, 포맷, 파티션 삭제,,일련의 절차를 거쳐서
절대 비밀을 열어 볼 수 없게 만드는 것입니당,,,

^^심지어 회로에서 열까지 발생~~지지직,,,퍽 ~~~ㅎㅎ

끝에 불타는 모니터에 메롱과 메세지가나옵니당,,,^^
함부로 나대지마라,,

●●●[ 두번째 서비스 항목 중지 시도 -- 좀 상당히 많은 항목 사용정지 + 인터넷 정상 ] ●●●

-- 사실 체계적으로 차례 차례 컴을 배운 것이 아니라,, 시스템 항목을 설정을 바꾸는 작업은 어렵기도 하고 또 시스템이 이후 사용못하게 되기도 하고 부팅도 안되기도 하고 등등위험할 수도 있습니다..--


그래서 일단 자신 자료를 충분히 잘 백업하고 + 기존 os 도 잘 백업해 놓은 상태에서
내컴퓨터 - 관리 - 서비스 각 항목을 옆의 설명도 참조하면서
각 항목을 하나씩 변경시켜서 사용해보려고하는데,

사실 telnet 이나
terminal service 등
왠지 설명내용이 원격조종에 이용될 것 같은 여러 서비스부터정지시키고

그리고 개인적으로거의 사용할 것 같지는 않은 기능과 항목을 다사용중지를 시켜 놓고,,\

그래서거의 대부분 서비스를 중지시킨 상태에서
인터넷 되고 , 디스크 관리자 열리고 그 정도만 기능이 정상 작동하는 상태를 찾아 보았는데 ,

일단 다음과 같이 극소수의 서비스만 시작된 상태로도 그것이 가능함을 알게 되었습니다..

테마 부분은 사실 에러인데 화면이 좀 촌 스럽게 바뀌니까..이부분까지 중지시킬 필요는 없기는 한데
- 실험상 --
그래서 다시 추가 보고서입니다.

이전에는 그냥 알파펫 순서로 올렸는데 다시 보고똑같이 적용하려니 힘이 들더군요,,
그래서,,
이번에는 수많은 서비스에서 중지시킨 것 - 수동으로 설정한 것 - 시작( +자동) 으로설정한 것
순서로붙입니당...
차라리 이런 순서가 더 보기 쉬운지도,,,

** 참고로 네트워크기능은사용을 많이 않기에,,특별히 테스트 안 했습니당..** 여러대 컴퓨터를 네트워크 연결해 사용하시는 분은개별사정에 따라 참고만 하시길 바랍니당,,,


위 상태에서 인터넷을 사용하기 위해 lan 선도 꼽고 하는데
이상한 프로그램이 작동을 자발적으로 시작하는 것을 감지하고

그런 프로그램들을 제거하려고 노력했는데 결국 지워도 지워도 살아나서 안되고
- 아래에도 대강 적었지만,,겨우 뱀파이어 가슴에 은총알을 박듯...-되살아나는 것을 방지했는데

보안탭에서 사용권한자를 관리자만 남기고 권한을 다 없애버리는 방법을 사용했습니다..
- 이 파일은 있고 지울 수 없게 만든 것입니당,,파일이 자리에 없으면 끝없이 되살아난다니까용 -

그래서 사진을 붙이기전system32 폴더의 mstsc 프로그램은속성 보안 탭에서 사용자를 다 제거했는데
다시 이를 캡쳐하기 위해 다시 찾아가
살펴보니 그 사이에 다시 이상한 상태로 변했습니다...
결국 계속 누군가 이용하기 위해 시도를 계속하기는 한다는 증거라고 봅니다.

반면 같이 설정을 바꾼 outlook express 폴더는 원래 권한을 제거한 상태 그대로 입니다..

이것은 결국 파일을 원격조종자에게 보낼 때 사용할 것이라 의심되는 부분인데
이것도 뱀파이어 성질인 것 같습니당,,지워도 지워도 다시 살아납니다.

메신저 프로그램도 안 쓰니 지울 예정인데,,아예설치제거 방법으로 없앴는데, 모르겠어용~~찾아봐야죵

여하튼 이 둘의 상태비교를 보니
원격접속시도는 되살아나서 하는데
이 파일을 이전에 그림보는 정상 프로그램을 가지고 그 이름으로바꾼 다음
덮어 씌우고
권한 설정을 바꾸어 나서

아마 outlook 이 더 이상 작동할 필요가 없거나,,
아직 작동할 상황이 아니거나,,인 것으로 보이는데

여하튼 이 둘만 비교해봐도,
누군가 끊임없이 수동으로든, 또는 자동으로든 원격접속을상태에서
시도하고 있다는 증거라고 추정됩니당...

- 정말 다정한 연인같죵,,스토커성 애인? -


추가로 다음 폴더들도 백업받아 놓고 없앴는데,
그 가운데 c:\Program Files\NetMeeting\ 폴더내 파일도 앞의 되살아나는 속성을 갖고 있습니당..
그래서 결국 또 보안탭의 권한자를 다 제거해 버렸어용,,
개인적으로 한번도 안 쓰는 것이라,,,지웠는데
사용하시는 분은 개별적으로 알아서 하셔야 된다고 생각합니당

os 자체에선 원래 좋은 목적으로 기본적으로 깔아준 것인데
개인적으로 사용하지는 않고,
또 해커가 어떤 기술로 사용할 지도 몰라서,,


c:\Program Files\messenger\
c:\Program Files\MSN\
c:\Program Files\MSN Gaming Zone\
c:\Program Files\NetMeeting\

그외 net 자 들어가는 파일이나 폴더--깔아 놓은 적도 없는--그런 것도 같은 방식으로삭제완료

c:\Program Files\TobeSoft\
c:\Program Files\UNETsystem\

● 사실 테스트 중에 무선랜 때문에 애를 많이 먹었는데
가능하면 유선만 쓰고 무선랜은 안 쓰는 것이 낫지 않을까..--둘 다 가능하다면--
하나의 무선에 이론상 수천 대 이상의 컴이 접속이 가능한 것으로 아는데,
해커가 같이 본다고 생각하면 별로 유쾌해지지 않아서,,,,