반도의 컴덕 이야기

안녕하세요, 반도의 컴덕 컴사람 입니다. 이번에는 PC가드를 뚫어보도록 하겠습니다.

원래는 설치 완료 후 인증 후 진행해야 하지만 인증 안해도 작동하긴 하므로(?) 이대로 씁니다.

하지만 설치해버리면 삭제는 불가하다는점(...)

이렇게 인증번호를 내놓으라고 협박 합니다.

일단 PC가드에 대해 알아보자면 C:\Program Files\iSecuService 폴더에

Private 폴더와 Pubilc 폴더로 나뉘어져 있습니다.

그리고 iSecuService 폴더는 시스템 파일로 숨겨져 있고

윈도우 시작시 시스템 파일들(sys 파일)들이 실행되어서 프로그램들을 실행시킵니다.

참고로 안전모드에서도 똑같이 실행됩니다.

즉, 프로그램 실행은 Private 폴더안에서 이루어집니다.

역시 무력화를 막기 위해 폴더 진입부터 막아버립니다.

자, 그럼 이제 무력화 하기 위해 만능 명령줄 명령 프롬프트를 관리자 권한으로 실행시켜줍니다.

명령어는 전편 열공백배와 같이 everyone 권한(모든 권한)을 거부하는 식으로 해줍니다.

권한 거부를 걸어줄 확장자들은 시스템 파일 sys와 실행 파일 exe 입니다.

다음과 같이 입력해줍니다.

cd C:\Program Files\iSecuService\private

icacls *.sys /deny everyone:f

icacls *.exe /deny everyone:f

이 명령어들을 쉽게 설명하면

PC가드 폴더의 private 폴더 내부로 이동해서 sys 파일들과 exe 파일들의 모든 권한을 거부한다 정도 됩니다.

명령창에서 성공이 뜨셨으면 이제 재부팅해줍니다.

이제 폴더에 진입이 가능해집니다.

이제 남은 일은 여러분들이 좋아하는 한가지가 있겠죠?

네, 날려주시면 됩니다.

안녕하세요, 반도의 컴덕 컴사람 입니다.

방금 열공백배 무력화를 마무리 한 뒤 열공백배 사이트를 읽다 보니 안전모드에 대한 이야기가 있었습니다.

안전모드 방어기능이 있다고 하네요.

사실, 안전모드는 거의 마스터 키 같다고 보면 됩니다.

종료 안되던 프로세스들도 안전모드에서는 종료됩니다. 종료 안되면 바이러스죠, 뭐.

어쨌든 안전모드로 다시 부팅해 보았습니다.

네, 작동은 여전히 잘 되고 있습니다.

이제 프로세스들을 날려보도록 하겠습니다.

종료할 프로세스는 vmasvc.exe와 vmaui.exe 입니다.

안전모드에서는 닫힙니다(!!!)

이제 C:\Windows\로 가서 열공백배를 지워주시면 끝납니다.

안녕하세요, 반도의 컴덕 컴사람 입니다.

이번에는 저번에 깔았다가 잘못해서 지워버린(...) 열공백배 무력화를 하겠습니다.

저번에 지워버린 열공백배는

다시 깔고 새로 시작합니다.

작업관리자를 띄우고 프로세스를 찾으면 vmasvc.exe와 vmaui.exe가 있습니다. 얘들이 열공백배 프로그램들 입니다.

이제 얘들을 종료시켜야 합니다.

프로세스 종료는 당연하게도 안됩니다.

일단 본진으로 찾아가봅시다.

경로는 C:\Windows 입니다.

속성창을 띄우려고 해도 금방 닫혀버립니다.

흠... 일단은 안전하게 서비스나 시작프로그램 부터 찾도록 하겠습니다.

시스템 구성 msconfig.exe를 띄우면 서비스 텝에 vmasvc가 있습니다. 이 서비스의 체크를 빼줍니다.

마찬가지로 시작프로그램에서 bs9_loader의 체크도 해제해 줍니다.

그리고 확인 누르면 재부팅 하시겠습니까 묻는데 재부팅 해줍니다.

구성 준비에 걸려버렸습니다;;

다시 켜도 무력화는 안되었습니다.

그러나 서비스는 작동이 안되어집니다. 이제 본격적으로 무력화를 하도록 하겠습니다.

원래대로라면 프로그램의 속성 > 보안 텝에서 권한을 거부시켜줘야 하겠지만 이번에는 그 방법이 먹히지 않습니다.

그래서 그 방법을 응용시켜보겠습니다.

일단 우선적으로 무력화 할 목록은 이렇습니다.

vmasvc.exe

vmaui.exe

wcatdrv.sys

이제 명령 프롬프트를 관리자 권한으로 띄워줍니다.

일단 안전하게 가기 위해서 소유자 권한을 한번 먹여줍니다.

일단 cd..을 이용하여 C:\windows\ 로 맞춰 준 뒤

takeown /f c:\windows\vmasvc.exe

takeown /f c:\windows\vmaui.exe

takeown /f c:\windows\wcatdrv.sys

를 입력해서 권한을 먹여줍니다.

성공이 뜨면 성공입니다.

이제 권한을 거부할 차례입니다, 아래 명령어를 차례대로 입력하면 됩니다.

icacls wcatdrv.sys /deny everyone:f

icacls vmasvc.exe /deny everyone:f

icacls vmaui.exe /deny everyone:f

이 명령어들을 굳이 해석하자면 "지정 파일의 모든 권한을 모든 유저 거부로 조정한다"가 됩니다.

이제 세 파일들이 처리되었다고 뜨면 재부팅을 해줍니다.

이제 아무창도 뜨지 않습니다. 무력화 성공했습니다.

방금 전에 모든 유저 모든 권한 거부를 했기 때문에 실행이 안됩니다. 이제 C:\Windows\ 로 이동합니다.

이제 속성을 띄우면 속성창이 잘 뜹니다. 보안 텝으로 이동합니다.

보안 탭에 가면 권한이 거부된 것이 보입니다.

이제 삭제할 수 있게 편집을 눌러줍니다.

사용 권한에 수정만 거부 해제한 뒤 확인을 눌러 적용해 줍니다.

이제 지워주면 끝입니다.

안녕하세요, 반도의 컴덕 컴사람 입니다. 벌써 2020년에 들어왔고 담주면 설날입니다.

모두들 2020년 새해 복 많이 받으세요.

양력으로는 새해가 지났다. 이미 받았겠지 음력으로 한번더 받으세요

어쨌든 이번에 소개할 프로그램은 바로 열공백배 입니다.

사이트(https://www.burningstudy.com/)

인강도우미 프로그램으로 인강에 집중할 수 있게 반 강제적으로 도와주는 프로그램입니다.

하지만 컴덕들에게는 소용이 없습니다(...)

차라리 USB에 인강을 저장해서 TV로 재생해서 공부하자 그럼 TV볼듯 그냥 인강을 듣지말고 종이책으로 공부하자

낙서하거나 책 안보고 잘듯 그냥 공부 하지말자

다운로드는 되는데 체험판으로 받아집니다. 그 이유는 잠시 뒤에 설명하고요, 일단 깔아봅시다.

적절한 설치 프로그램의 모습입니다.

그나저나 아이콘이 윈집이다

? 뒤에 윈집이 보이지만 무시하고

이용약관에 동의한 뒤 설치해줍니다.

적절한 설치 중인 화면입니다.

설치가 완료되었다네요. 그나저나 저기 뒤에 윈집 거슬린다

...? 사실 윈집으로 설치한거라 카더라

...는 아니고 잠깐 뜨다 사라집니다(...)

열공백배의 메인화면 입니다. 여러 설정들이 많습니다.

스케쥴이 맞을까 스케줄이 맞을까

체험판에서는 30분 제한 걸려있네요. 

체험판에 시간제한 걸린 이유는

공용 컴퓨터에 깔고 시간제한, 부팅제한 테러해서(...)

그래서 테러당한 컴퓨터 관리하는 분들의 거센 항의를 엄청나게 먹었다고(......)

못 뚫으면 포멧해야하니 당연히 항의할만 하다;;

사이트 차단 화면. 인강 사이트와 인터넷 뱅킹, 대학, 정부사이트 허용 옵션도 있습니다.

프로그램 차단 화면. 유명 게임들을 차단시켜준다네요.

플래시 게임은 못막겠지만 사이트는 막혀도 받아서 하면 된다

위의 이유 떄문에 삭제금지 기능을 쓰지 못한다...

반도의 컴덕은 제대로 테스트하지 못해 아쉬울 다름

테스트용으로 지원해 주실거면 메일주세요

이제 무력화를 하기 위해 인강모드를 켜보기로 했다.

기능이 켜졌네요. 이제 해제하려면 30분이 지나야지 꺼집니다.

이제 바로가기 위치를 찾아서 삭제 프로그램을 실행시켜줍니다.

설마 삭제가 되겠어...?

네

어... 삭제되버렸다...

체험판인것을 깜박했다;;;

다음편에서는 진짜 무력화 시키도록 하겠습니다,

...바쁘고 귀찮은게 많았고 컴퓨터 바꾸고 여러 일들이 많아서 이렇게 너무 늦게 와버렸습니다.

오늘은 새로운 프로그램 하나 들고와서 무력화(?)를 하겠습니다.

글이 무슨 매일 날라가냐...

아, 글이 또 날라갔군요....

다시 써야한다니.....

https://www.izikimi.com/SupportBoardRead.html?ArticleID=2050

아이지키미 자료찾다 발견했는데

?!?!

https://comsaram.tistory.com/category/%EC%B0%BD%EA%B3%BC%20%EB%B0%A9%ED%8C%A8/%EB%AC%B4%EB%A0%A5%ED%99%94

https://comsaram.tistory.com/category/창과%20방패/무력화

간접광고 아니다 직접광고

내역 보니 아이안심 무력화 응용하여 권한거부법 사용한듯.

https://kr.comsaram.kro.kr/36

다른 글도 찾아보니 시간 조정으로도 무력화 성공한듯.

그렇게 컴덕이 되어가는거다

뭐... 직접 테스트 못하니 아이지키미 무력화 시나리오라도 써야겠네요.

아니면 아이지키미 회사에서 뚫어보라고 아이지키미 지원해주던가 연락 주세요 신고당할듯

그런데 Isafe가 왜 1위인지 모르겠네요.

그리고 2위는 맘아이 뚫기고 3위는 컴사용지킴이 뚫기.

죄다 맘아이 아니면 컴사용지킴이 쓰는거 같다.

여담으로 나중에 시간되면 PC키퍼7 뚫는것도 올릴게요.