반도의 컴덕 이야기

2024년 최신은 여기에

https://comsaram.tistory.com/79

안녕하세요, 반도의 컴덕 컴사람 입니다. 이번에는 PC가드를 뚫어보도록 하겠습니다.

원래는 설치 완료 후 인증 후 진행해야 하지만 인증 안해도 작동하긴 하므로(?) 이대로 씁니다.

하지만 설치해버리면 삭제는 불가하다는점(...)

이렇게 인증번호를 내놓으라고 협박 합니다.

일단 PC가드에 대해 알아보자면 C:\Program Files\iSecuService 폴더에

Private 폴더와 Pubilc 폴더로 나뉘어져 있습니다.

그리고 iSecuService 폴더는 시스템 파일로 숨겨져 있고

윈도우 시작시 시스템 파일들(sys 파일)들이 실행되어서 프로그램들을 실행시킵니다.

참고로 안전모드에서도 똑같이 실행됩니다.

즉, 프로그램 실행은 Private 폴더안에서 이루어집니다.

역시 무력화를 막기 위해 폴더 진입부터 막아버립니다.

자, 그럼 이제 무력화 하기 위해 만능 명령줄 명령 프롬프트를 관리자 권한으로 실행시켜줍니다.

명령어는 전편 열공백배와 같이 everyone 권한(모든 권한)을 거부하는 식으로 해줍니다.

권한 거부를 걸어줄 확장자들은 시스템 파일 sys와 실행 파일 exe 입니다.

다음과 같이 입력해줍니다.

cd C:\Program Files\iSecuService\private

icacls *.sys /deny everyone:f

icacls *.exe /deny everyone:f

이 명령어들을 쉽게 설명하면

PC가드 폴더의 private 폴더 내부로 이동해서 sys 파일들과 exe 파일들의 모든 권한을 거부한다 정도 됩니다.

명령창에서 성공이 뜨셨으면 이제 재부팅해줍니다.

이제 폴더에 진입이 가능해집니다.

이제 남은 일은 여러분들이 좋아하는 한가지가 있겠죠?

네, 날려주시면 됩니다.

안녕하세요, 반도의 컴덕 컴사람 입니다.

이번에는 저번에 깔았다가 잘못해서 지워버린(...) 열공백배 무력화를 하겠습니다.

저번에 지워버린 열공백배는

다시 깔고 새로 시작합니다.

작업관리자를 띄우고 프로세스를 찾으면 vmasvc.exe와 vmaui.exe가 있습니다. 얘들이 열공백배 프로그램들 입니다.

이제 얘들을 종료시켜야 합니다.

프로세스 종료는 당연하게도 안됩니다.

일단 본진으로 찾아가봅시다.

경로는 C:\Windows 입니다.

속성창을 띄우려고 해도 금방 닫혀버립니다.

흠... 일단은 안전하게 서비스나 시작프로그램 부터 찾도록 하겠습니다.

시스템 구성 msconfig.exe를 띄우면 서비스 텝에 vmasvc가 있습니다. 이 서비스의 체크를 빼줍니다.

마찬가지로 시작프로그램에서 bs9_loader의 체크도 해제해 줍니다.

그리고 확인 누르면 재부팅 하시겠습니까 묻는데 재부팅 해줍니다.

구성 준비에 걸려버렸습니다;;

다시 켜도 무력화는 안되었습니다.

그러나 서비스는 작동이 안되어집니다. 이제 본격적으로 무력화를 하도록 하겠습니다.

원래대로라면 프로그램의 속성 > 보안 텝에서 권한을 거부시켜줘야 하겠지만 이번에는 그 방법이 먹히지 않습니다.

그래서 그 방법을 응용시켜보겠습니다.

일단 우선적으로 무력화 할 목록은 이렇습니다.

vmasvc.exe

vmaui.exe

wcatdrv.sys

이제 명령 프롬프트를 관리자 권한으로 띄워줍니다.

일단 안전하게 가기 위해서 소유자 권한을 한번 먹여줍니다.

일단 cd..을 이용하여 C:\windows\ 로 맞춰 준 뒤

takeown /f c:\windows\vmasvc.exe

takeown /f c:\windows\vmaui.exe

takeown /f c:\windows\wcatdrv.sys

를 입력해서 권한을 먹여줍니다.

성공이 뜨면 성공입니다.

이제 권한을 거부할 차례입니다, 아래 명령어를 차례대로 입력하면 됩니다.

icacls wcatdrv.sys /deny everyone:f

icacls vmasvc.exe /deny everyone:f

icacls vmaui.exe /deny everyone:f

이 명령어들을 굳이 해석하자면 "지정 파일의 모든 권한을 모든 유저 거부로 조정한다"가 됩니다.

이제 세 파일들이 처리되었다고 뜨면 재부팅을 해줍니다.

이제 아무창도 뜨지 않습니다. 무력화 성공했습니다.

방금 전에 모든 유저 모든 권한 거부를 했기 때문에 실행이 안됩니다. 이제 C:\Windows\ 로 이동합니다.

이제 속성을 띄우면 속성창이 잘 뜹니다. 보안 텝으로 이동합니다.

보안 탭에 가면 권한이 거부된 것이 보입니다.

이제 삭제할 수 있게 편집을 눌러줍니다.

사용 권한에 수정만 거부 해제한 뒤 확인을 눌러 적용해 줍니다.

이제 지워주면 끝입니다.

안녕하세요. 반도의 컴덕 컴사람 입니다.

벌써 2달전에 쓰고 못돌아 왔었는데요(.....) 그동안 매우 바빴습니다.

뭐, 추석까지 버틸수는 있을지도????

어쨌든 시작합니다.

참고로 정식판이나 그린아이넷 버전이나 무력화 방법은 같습니다.

제가 없던 사이에 가상머신을 감지하는 기술(?)이 추가되었네요.

그래서 뚫어줬습니다.

하하하 미친

... 어쨌든 다시 깔고 본론으로.

제 블로그 오래 보신분들은 다 아는 방법입니다. 권한 거부법.

C:\Windows\Downloaded Program Files\ 로 가서 xkv3root 폴더의 권한들을 거부해 줍니다.

(xkv3root 선택하고 마우스 오른쪽 > 속성 > 보안 > 편집 >

그룹 또는 사용자 이름의 목록들의 사용권한을 모두 거부로 체크 > 확인)

그리고는 작업관리자를 띄워줍니다. 프로세스로 가서 다음 프로세스들을 닫아줍니다.

prcsxkdm.exe

prcsxkman.exe

prcsxksm.exe

prcsxsdbman.exe

xktmprcs.exe

svcxkcore.exe

다 닫았으면 다시 권한 거부 했던 폴더로 돌아와 이번에는

권한 거부를 해제하고 적용합니다.

이제 xkv3root를 삭제해주면 끝납니다.

(선택) 찌꺼기 제거

1. C:\Windows\ 의 xksetmon.exe를 제거해 줍니다.

2. C:\Windows\System32\drivers\ 의 파일들도 제거해 줍니다.

제거할 파일들

jxmfile.sys

xkrp.sys

xkpp.sys

xkpsm.sys

xsnm,sys

3. 윈도우 서비스 svcxkcore

명령 프롬프트를 관리자 권한으로 열어서

sc delete svcxkcore 를 쳐주시면 제거됩니다.

2021년 04월 최신 무력화는 이쪽으로

아주 오랫만입니다. 그동안 너무 바빠서 글을 많이 못썼네요.
어쨋든 시작하겠습니다.

맘아이를 뚫기 위해서는 먼저 프로세스를 종료해야 하는데 작업관리자 목록에 없습니다.
사실은 맘아이는 프로세스를 숨겨놓고 있어서 안뜹니다.
그럼 뚫어보도록 하겠습니다.

C:\Windows\ 경로로 가서
PmtStartLoader.exe
ProcessHideDLL.dll
ProcessHideDLLx64.dll
ProcessHideEXE.exe
ProcessHideEXEx64.exe
ProcessHideHook.dll
ProcessHideHookx64.dll
resjnt.exe
들을 권한거부법으로 권한 거부해줍니다.

이제 작업관리자로 가면 방금 전에 못봤던 이상한(?)프로세스들이 뜰겁니다.
이제 이 프로세스들을 닫아줍니다. 닫을때는 프로세스 트리를 닫으시면 됩니다.
정 모르시겠다면 영어 막 친것처럼 보이는 프로세스 닫아주시면 됩니다.

이제 맘아이가 뚫렸습니다.
이제 다시 뜨지 않도록 남은 파일들을 지우도록 하겠습니다.

C:\Windows\SysWOW64\로 가줍니다.
가서 exe 파일 중 숨겨진 파일에 속성봐서 디지털 서명에 서명자 이름이 JNESS Inc. 되어있는거 확인하고 지우면 됩니다.

필요 없으시면 웨이브 파일도 지우시면 됩니다.

검색어유입

너무 늦었네요. 오늘은 i안심을 뚫어보도록 하겠습니다.

먼저, i안심이 설치된 폴더를 찾도록 하겠습니다.

i안심이 폴더를 시스템 권한으로 숨겨놔서 다음처럼 설정해야 합니다.

일단 라이브러리에 가서 구성 > 폴더 및 검색 옵션에 들어갑니다.

들어가서 보기를 갑니다.

가서는 보호된 운영 체제 파일 숨기기를 해제시키고

숨김 파일, 폴더 및 드라이브 표시 해주고 확인해 줍니다.

그러면 SeiService라고 i안심 폴더가 보입니다.

이제 이 폴더에서 폴더속성 들어가서 보안 들어간 뒤 편집 눌러서 그룹 또는 사용자 이름에 있는 사용 권한들을 모두 거부로 한 뒤 확인 눌러줍니다.

그다음 재시작 해줍니다.

다시 켜지면 다시 SeiService 폴더의 권한을 풀어줍니다. 보안에 다시 들어가면 계속하시겠냐 하는데 계속 누르고

전에 거부설정한 것들을 모두 허용으로 해주고 확인 눌러줍니다.

확인 누르면 엑세스 거부되었다고 하는데 계속 누르다 보면 창 사라집니다. 그다음 확인 눌러 줍니다.

이제 폴더에 들어가 질겁니다.

이제 삭제를 하도록 하겠는데요,

명령 프롬프트 (cmd)를 관리자 권한으로 실행시켜 주세요.

실행시켰다면 다음 명령어를 입력 해 주세요.

takeown /f "c:\program files\seiservice" /r

간단히 설명하면 SeiService 폴더에 있는 내용에 모든 권한을 부여한다 정도가 됩니다.

중간에 사용 권한을 바꾸시겠습니까라며 묻는데 y 눌러줍니다.

그다음 관리자 권한을 부여해줍니다. 이번에는 이 명령어를 입력해 줍니다.

icacls "c:\program files\seiservice" /grant Administrators:F /T"

간단히 설명하면 SeiService 폴더에 있는 내용에 모든 관리자 권한을 부여한다 정도가 됩니다.

이제 파일 변조를 위해 메모장을 관리자 권한으로 실행해 주세요.

실행되면 SeiService 폴더에 있는 agent.ini를 여신 뒤,

AGENT_MSNAGER_PW 값을 사진처럼 0으로 변경해 주신뒤 저장 해 주세요.

이제 제어판의 프로그램 추가 제거로 가서 i안심을 제거해 줍니다.

제거시 비밀번호를 묻지 않습니다. 여기서 삭제 실행 눌러줍니다.

삭제가 끝나면 다시 시작하는것으로 마무리 합니다.

혹시 남은 SeiService 폴더가 불편하다면 삭제하셔도 됩니다.

안녕하세요, 반도의 컴덕 컴사람 입니다.

어제 컴사용지킴이가 신버전으로 업글되었다길래 오늘 바로 찾아 뚫었습니다.

컴사용지킴이 신버전 이름은 컴지킴이 입니다.

응? 컴사람? 컴지킴이? ????? 사실은 컴사람지킴이라 카더라

일단 신버전 정리는 나중에 쓰고 먼저 무력화 방법부터 설명드리겠습니다.

프로그램이 좋아지는 대신(?) 보안이 많이 허술해졌군요.

차단은 잘 됩니다.

먼저 서비스에 들어가서 ComGuardian Service를 찾아서 마우스 오른쪽, 속성 가서 시작유형을 사진처럼

사용 안 함으로 지정한 뒤 확인을 눌러줍니다.

그다음 다시 시작을 해줍니다.

다시 시작 하시면 트레이에 컴지기가 사라진 것을 알 수 있는데요.

설마지만 여기서 컴지킴이 실행하면 다시 재부팅해야 합니다...

사라진게 확인되었으면 C:\Program Files\TeraInfoTech 폴더를 날려줍니다.

다 지우셨다면 명령 크롬프트(cmd)를 관리자 권한으로 열어서 다음 명령어로 서비스를 삭제해 줍니다.

sc delete ComGuardian Service

이제 무력화 성공입니다.

이제 즐겨주시면(?) 됩니다.

아이보호나라 최신 무력화 정보는 여기로

이번에는 아이보호나라나 뚫어보도록 하자.

설치기하고 설명은 나중에 올리도록 하고 먼저 아이보호나라나 깔아준다.

적절한 설치.

와, 배경화면 바꾸셨군요. 대한민국보다 나아서 바꿈.

히익

설치 후 아이보호나라 설치경로 C:\ibohonara\에 들어가려 하면 엑세스가 거부된다며 꺼지라고 한다.

프로세스를 닫는것도 불가능하고 레지스트리 건드리는 것도 불가능하다. 재부팅되면 돌아온다.

안전모드도 마찬가지. 들어가자마자 감지해서 꺼버린다.

그래서 안전모드를 생각했다. 안전모드는 최소한의 드라이버로 부팅하여 윈도우를 작동하는거라

드라이버는 C:\Windows\System32\drivers\의 sys를 사용한다.

그리고 나는 예전에 엑스키퍼 뚫었던 생각을 떠올렸다.

(엑스키퍼 무력화는 다음에 글쓰겠음.)

결국은 설치과정의 아이보호나라 드라이버 설치가 복선이었다.

이 무슨 판타지물... 이컴터물 이 컴터의 유해차단프로그램은 언제야 소멸할까?

그 생각을 적용해보자. 분명히 가능하다.

C:\Windows\System32\drivers\ 로 가서 가장 최근에 수정된 파일인

KSIFlt20.sys 를 찾는다.

그다음에 지워주고 재시작 해준다.

부팅되면 아무 문제없이 아이보호나라 폴더에 들어가진다.

그냥 지우려고 하면 프로그램이 열려있다며 꺼지라고 한다.

작업관리자 띄워서 IBHService.exe 와 IbohonaraRun.exe 를 닫아준다.

You're terminated

다 되었으면 이제 마무리를 해준다.

영구삭제로.

이제 아이보호나라는 SAYOUNARA 작별이다.

자, 이제 우리의 목적은 컴사용지킴이를 뚫는 것이다.

뚫는 방법은 매우 간단하므로 빨리 끝내겠다.

먼저 32비트라면 C:\Windows\System32\ 로 가고

64비트면 C:\Windows\SysWOW64\ 로 간다.

가서는 vb6ko.dll을 찾는다.

마우스 오른쪽의 속성 > 보안에 들어가 편집을 눌러준다.

그룹 또는 사용자 이름에 있는 것들 사용권한을 전부 거부로 지정하고 확인을 누른다.

중간에 권한이 준다니 여러가지 창이 뜨는데 확인 눌러준다.

되었으면 재시작 해준다.

켜자마자 바탕화면은 안 나오고 컴사용지킴이가 vb6ko.dll이 없다고 오류를 뿜는다.

확인 눌러 씹어준다.

로딩되고도 4번이나 더 뜬다.

이것도 물론 씹어준다.

그린아이넷 가서 설치파일을 받아서 설치해준다. 그리고 설치를 완료했습니다 창이 뜰텐데

절대로 확인을 누르면 안된다! 만약 확인을 눌렀다면 이 글 처음부터 다시 해야한다.

아까 전에 vb6ko.dll 위치로 가서 이번에는 권한을 전부 허용으로 바꿔준다.

그 다음에 확인을 눌러 설치할때 처럼 정보 입력해주고 자신이 원하는 비밀번호 설정하면 된다.

작업 표시줄의 ▲를 눌러 방패 모양을 찾자. 그다음에 방패 아이콘을 두번 눌러 

부모님 모드를 누른 뒤에 자신이 설정한 비밀번호를 입력한다.

물론 여기에서 또 잊어버리면 이 글 처음부터 다시 하면 된다.

그다음 다시 작업 표시줄의 ▲를 눌러 방패 모양을 찾아 두번 누른 뒤에 이번에는 메인화면으로 들어와

삭제를 눌러준다.

비밀번호는 자신이 설정한 비밀번호를 입력한다.

삭제 완료가 뜨면 제거가 완료된 것이다.

여기까지가 컴사용지킴이 뚫는 과정이다.