Hijack Hunter는 NoVirus Thanks 회사에서 제공하는 무료 시스템 검사 도구이다.
사용자 컴퓨터 시스템의 의심스러운 시스템 동작할 감지할 수 있도록 실행중인 프로세스, 레지스트리 시작 키, 설치된 드라이버, 하이재킹 등 모든 세부 정보를 처리하며 모든 정보를 보고서 파일에 표시한다.
시스템에 의심스러운 행동이 포착되어 전문가에게 의뢰했다고 가정한다.
희생자는 갑자기 자신의 시스템 시작 레지스트리에 알 수 없는 파일이 등록되었고, 설치 된 백신이 동작은 하는데 트레이 아이콘이 뜨지 않는다고 전문가에게 의뢰한다.
전문가는 Hijack Hunter 프로그램으로 현재 시스템을 검사하면 로그 파일이 생성되는데 로그 파일을 전송해 달라고 한다.
전문가는 해당 로그를 분석하기 시작한다. 현재 실행중인 프로세스 목록을 보니 백신이 정상적으로 동작하고 있지만, 임의의 실행 파일이 동작하고 있는 것을 확인한다.
임의의 파일은 제조 회사가 없으며, 최근에 실행된 것으로 보인다.
시작 레지스트리를 보면 현재 실행중인 프로세스(임의의 프로세스)가 등록되어 있다.
의심스로운 폴더에서 실행중인 파일 목록에 보면 전에 확인한 의심스러운 파일이 있다.
15일 전에 생성 및 수정된 파일 목록을 보면 시작 레지스트리에 등록된 의심스러운 파일이 있다.
레지스트리 키를 확인하면 의심스러운 파일이 존재한다.
생성된 로그 파일을 확인하면 현재 공격자와 세션이 맺어 지지 않았고, 시작 레지스트리에 등록하여 재부팅 시 자동으로 해당 파일이 실행된다. 해당 파일이 실행되면 어떤일을 하는지는 해당 로그에서는 알 수 없다.
해당 파일이 어떤 기능을 수행하는지 확인하려면 바이너리 파일을 역분석해야 한다. 하지만, 역분석은 Hijack Hunter로는 할 수 없다.
Hijack Hunter 프로그램은 크게 요약하면 다음과 같다.
1. 최근에 생성/수정된 모든 파일 목록, 시작 레지스트리, 현재 실행중인 프로세스 목록, 네트워크 상태 등을 취합하여 로그 파일로 생성한다.
2. 악성 코드에 의해 시스템에 주요 설정(방화벽 비활성화, 레지스트리 편집기 비활성화, 시스템 복원 기능 비활성화 등)이 변경되었을 경우 이를 활성화 시켜준다.
3. 악성 코드가 어떤 행위를 하는지 자세히 알 수는 없고, 시스템의 주요 설정 값만 원래대로 돌려 놓는다. 본인도 모든 항목을 체크하고 재부팅해봤지만 전의 로그 파일에서 확인한 시작 레지스트리는 복원하지 못했다.
