반도의 컴덕 이야기

안녕하세요, 반도의 컴덕 컴사람 입니다. 예전에 그아넷 무력화는 다 올린줄 알았는데 아이눈이 빠져있었네요(...) 아마 스샷은 찍어놓고 유야무야 넘어간듯(.....) 어쨋든 이번 편은 간단하니 금방 끝내도록 하겠습니다.

이번에도 적절하게 아이눈을 깔아줬습니다. 이제 본격적으로 시작합니다.

일단 작업관리자를 띄워서 일단 닫아보면 다시 살아납니다. 그래서 리소스모니터를 띄워줍니다.

여기서 Inoon 들어가는 실행파일들 선택한 뒤에 프로세스 닫아주시면 되는데 저는 그냥 안전하게(?) 프로세스 일시중단을 먼저 해주도록 하겠습니다.

이렇게 끝내주시면 되겠습니다. You're Terminated

종료되면 다음처럼 회색 글자로 나옵니다. 일단 프로세스는 닫았고 이제 삭제만 남았습니다.

삭제는 정말로 쉽습니다. 그냥 C드라이브 가셔서 Inoon 폴더 이름을 아무거나 바꿔주신 뒤에

재부팅 해줍니다.

그리고 폴더를 삭제해주시면 되겠습니다.

이번편은 워낙 쉬워서 스샷도 얼마없고 금방 끝났네요.

저는 이만 남은 하루를 보내러...

안녕하세요, 반도의 컴덕 컴사람입니다.

앞으로 일본특집 GO!GO! 日本！을 쓰려고 합니다. 일본 유해차단 프로그램 2개 정도에 대해 글 쓸 예정입니다.

시작전에 예전에 맘아이 글에서

도쿄 TV 다큐멘터리 가이아의 새벽 2008년 5월 20일

넷의 어둠 : 유해사이트로부터 가족을 지켜라(ネットの闇 ～有害サイトから家族を守れ～)편에 소개되었다.

출처: https://kr.comsaram.kro.kr/4?category=727858 [반도의 컴덕 이야기]

이야기를 했었는데, 오늘은 한글자막을 넣은 그 영상을 올립니다.

https://youtu.be/gd8vN25CAzg

안녕하세요, 반도의 컴덕 컴사람 입니다.

귀찮기도 하고 해서... 네...

대충하고 끝내겠습니다.

...........

[엑스키퍼 그린아이넷 버전]

일단 작업 관리자로 보면

prcsgin.exe

prcsxkdm.exe

prcsxkman.exe

prcsxksm.exe

svcxkcore.exe

xktmprcs.exe

가 있습니다.

그리고 그다음에는 권한거부법으로 권한을 거부시켜줘야 하는데....

그냥 귀찮으니 cmd로 다하겠습니다...

cd C:\Windows\Downloaded Program Files\

takeown /f xkv3root /r

하셔서 폴더에 관리자 권한 입혀주고요

사진처럼 icacls 해서 권한 거부들 해줍니다.

그리고 프로세스 닫아주시고

다 닫으셨으면 권한 거부 풀어주시고

날려주시면 되겠습니다.

[엑스키퍼 사이트판]

시작 전부터 친절히 스포...

간만에 깔았더니 설정화면이 바뀌었네요.

무력화 우려 프로그램이 백신...

참 많은 방법들로 시도했나봅니다..

얘들은 cmd 쳤다가 오류나면 더 귀찮으니까....

친절하게 전처럼 프로그램들을 권한거부 해줍니다.

그리고 또 닫아주시고...

권한 풀어주시고...

정 귀찮으시면 everyone 선택하고 제거 누르시고 확인 누르면 더 빠릅니다.

날려주시면 됩니다.

참 귀찮네요.

무력화는 금방인데 캡쳐 저장하는데 시간 많이쓰고

그런데 정작 다른사진들까지 끼워넣었다...

그리고 내일 오후 10시에 도쿄 MX에서 괴물사변 하는거 보러 가렵니다
괴물사변 잼있습니다 꼭보세요 정말 블로그 주제를 바꿔야 하나

처음-끝 사진 : 타나카 군은 항상 나른해

중간 영화 사진 : 영화 레이더스 검 vs 총 장면

2021년 04월 최신 무력화는 이쪽으로

안녕하십니까! 아침 힘세고 강한 2021, 만일 내게 물어보면 무력화

...네 반갑습니다. 벌써 2021년의 2월이네요.

많은 사람들의 요청으로 빨리 본문으로 넘어갑니다..

넘어가기 전에 간략하게 설명하면 20년 9월자 무력화 때는 그저 syswow64만 막았었는데 몇번의 패치를 거친지는 몰라도 왠만한건 거의 다 막혀가고 있습니다.

아마 많은 유해차단 프로그램 회사들이 여길 눈팅하는게 100%..

쨋든 오늘도 시작합니다.

일단 간단하게 프로그램에 대한 정리를 하자면 실행 파일은 디지털 서명에 JNESS Inc. 로 서명되어 있습니다.

일단 프로세스를 숨겨주는 파일들이 존재하는 C:\Windows\ 경로 내부입니다. 물론 숨김파일은 해제시켜 줘야겠죠.

얘들이 바로 맘아이 프로그램들입니다. 전처럼 권한거부법을 써줍니다.

저기 old파일 만들어진 것은 현재 실행중이기 때문에 자체방어 중입니다..

...어라라? 안되잖아!!! 새로 dll이 만들어졌어!!! 으아ㅏ아ㅏ아앙아ㅏ

라고 외치겠지만 권한거부는 안하는것보단 낫습니다... 왜냐고요?

자세한 설명을 생략한다

...네 다 나옵니다.

다만 전처럼 syswow64 접근할땐 무조건 튕구는데요, 이번에는 system32까지 튕궈버립니다.

cmd를 이용해서 접근하려고 해도 1초 실행되고 닫힙니다.

아... 그럼 이제 끝인건가... 라고 생각하기엔 너무 이릅니다.

그랬으면 이 글 안쓰고 있겠죠.

바로 다이렉트로 마우스 오른쪽 해서 속성에 들어가서 전부 권한거부 해줍시다.

그리고 프로세스 끝내기로 해주시면 됩니다.

이제 남은 파일들을 삭제해야하는데요, 무력화 했다해도 다시 실행되면 무슨 의미가...

참고로 삭제할 파일들 못찾으시는분들 계셔서 제가 따로 설명해드리면서 가겠습니다.

C:\Windows\ 경로는 바로 스샷보면 나오니깐 별다른 설명 안하겠습니다.

다만 저 위에 njgfkrtuc 파일은 랜덤문자로 생성되므로

2020년 9월 12일 수정 1,816KB 파일인것 확인하고 지우시면 될 것 같습니다.

그리고 삭제할때는 권한 전부 풀어주시고 삭제하면 되지만, old 파일 같은 경우에는 계속 이 라이브러리를 추가할 수 없다면서 경고창이 계속 뜨는데 이때는 그냥 껏다가 다시 지우시면 정상적으로 삭제됩니다.

이 와중에 띄어쓰기가 틀렸다 추가할수 X 추가할 수 O 사실 운율을 맞추기 위해서였다 카더라 리듬게임

경로 : C:\Windows\SysWOW64\

삭제할 파일

2015-07-17 오후 3시 55분 수정된 응용프로그램들

각각의 용량

1,066KB

1,103KB

1,703KB

1,090KB

웨이브 파일들. 삭제는 선택이나 저는 삭제하겠습니다.

삭제할 파일정보

2016년 09월 20일 오후 2시 13분 - 응용 프로그램 - 1,580KB

2016년 5월 16일 오전 11시 37분 - 응용 프로그램 - 91KB、146KB、115KB、68KB、398KB

2016년 2월 16일 오후 6시 26분 - 응용 프로그램 - 1,712KB

삭제할 파일 정보

2017년 7월 29일 오전 12시 14분 - 응용 프로그램 - 1,833KB

2017년 6월 2일 오후 11시 30분 - 응용 프로그램 - 64KB

여긴 사진보면 되니깐 생략(...)

삭제할 파일 정보

2019년 10월 11일 오후 10시 58분 - 응용 프로그램 - 499KB

2019년 9월 6일 오전 12시 38분 - 응용 프로그램 - 2,270KB

너무 많아 생략(...)

이것도(...)

그냥 수정된 날짜와 크기 확인하시고 지우시면 됩니다..

전부 숨김파일이니 찾기는 힘들지 않으실 겁니다. 만약 못찾겠다면 속성 확인해서

디지털 서명자가 JNESS Inc. 인것만  지우시면 되고요.

참고로 무력화 끝내고 끄고 켤때 LogonUI.exe 시스템 오류

컴퓨터에 MSVCP100.dll이 없다는 오류창이 뜨실 경우에는

Visual C++ 2010 재배포 가능 패키지를 받아서 설치하시면 해결됩니다.

32비트

vcredist_x86.exe

64비트

vcredist_x64.exe

만약 다운로드가 안된다면

32비트

www.microsoft.com/ko-kr/download/details.aspx?id=5555

64비트

www.microsoft.com/ko-kr/download/details.aspx?id=14632

가셔서 다운 받으시고 설치하시면 해결됩니다.

안녕하세요, 반도의 컴덕 컴사람 입니다.

벌써 2021년이네요. 새해 복 많이 받으셨으리라 생각합니다.

9월에 마지막으로 무력화 테스트하고 나나깐 열공백배 무력화가 안된다는 글이 있어서 새로 쓰게 되었습니다.

다시 받아서 테스트 해보니까 패치했었네요. 아마도 여기 눈팅중?

그나저나 티스토리 놈들 구에디터에서 사진 못넣게 막아서 강제로 신버전 에디터로 글 쓰는 중...

자 어쨌든 다시 시작합니다.

오늘도 적절하게 다시 열공백배를 깔아줍니다.

캡쳐한다고 24초나 써버렸다

자 오늘은 레지스트리 편집기를 열어주겠습니다.

regedit 치면 바로 나옵니다.

여기서 또 19초를 썼다

무력화 전에 잠시 작동원리를 설명한다면, 경로 C:\WIndows\ 의 파일 vmasvc.exe로

윈도우 서비스 및 레지스트리 편집기에 계속 등록합니다.

즉, 열공백배 관련 값들은 수정하여도 새로고침 하면 다시 원래대로 돌아온다는 것(...)

어차피 서비스 정보와 세부 내용들도 레지스트리 편집기에 저장되니 레지스트리가 한수 위(?)라고 보면 됩니다.

그러면 어떻게 해야하지? 간단합니다. 레지스트리를 읽을 권한을 없애버리면 됩니다.

레지스트리 경로

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\vmasvc

로 가줍니다. 가서 vmasvc 폴더에서 마우스 오른쪽 눌러서 사용권한을 눌러줍니다.

그러면 여기 글을 많이 읽으신 분들은 익숙한 창이 뜰텐데요, 추가 눌러줍니다.

추가 누르면 새 창이 뜹니다. 개체 이름 입력하는 칸에 Everyone 입력하고 확인 눌러줍니다.

네 그리고 만들어진 Everyone 선택하시고 권한들을 거부해줍니다. 그리고 확인해서 저장합니다.

계속하시겠습니까? 묻는데 예 눌러주면 됩니다.

그리고 재부팅 해줍니다.

이제 끝났습니다. 이제 열공백배가 시작하지 않습니다.

C:\WIndows\ 가셔서 삭제해주시면 됩니다.

목록은 완료에 따라 업데이트 됩니다.

테스트 할 목록

열공백배

i안심

엑스키퍼(그아넷, 사이트)

맘아이

아이눈

아이보호나라

컴사용지킴이 구버전

열공백배

(일반, 안전모드) 무력화 가능

아이안심

가볍게 권한거부법으로도 가능

아이보호나라

무력화 가능

컴사용지킴이

무력화 가능(잦은 오류발생으로 작동불능? 이지만 무력화는 확인)

엑스키퍼(그린아이넷)

무력화 가능

엑스키퍼 정식판

무력화 가능(무력화 방법 그린아이넷과 동일)

아이눈

무력화 가능

맘아이

무력화 가능

* sysWOW64 접근을 막는걸로 업데이트 된 것 같습니다. 자세한 내용은 추후 다시 올리겠습니다.

생각해보니까 너무 일찍 일어난거 같네요...

저는 이만 다시 자러가보겠습니다?

참고로 노래는 지박소년 하나코군 OP NO.7 입니다.

생각해보면 저걸 여기에 대입하면 나는 아마네야 츠카사야 츠카사잖아

아마네쿠 코토바 야이바 후리카자시테

안녕하세요, 반도의 컴덕 컴사람 입니다. 최근 아이지키미 무력화 요청이 많은데요,

사실 저도 한번 깔아서 하고 싶긴 하지만 회원가입 문제로(...) 못하고 있습니다.

원격으로 뚫어 줄 수도 없는 입장이고요(...)

그래서 일단 뚫기를 위한 초기 조사(?)를 부탁드리려고 합니다.

조사 한 뒤에는 댓글에다 달아주시면 최대한 알아보도록 하겠습니다.

조사 내용

프로세스 조사.cmd

폴더 조사.cmd

프로세스와 폴더를 조사하기 위해서 두 프로그램들을 받고 실행시켜줍니다.

실행 시킨 후엔 실행시킨 경로에 각각의 조사파일이 나오는데

그 조사파일들의 내용을 복사해서 여기 댓글로 올려주시면 됩니다.

그 다음에는 제가 조사하도록 하겠습니다.

2024년 최신은 여기에

https://comsaram.tistory.com/79

안녕하세요, 반도의 컴덕 컴사람 입니다. 이번에는 PC가드를 뚫어보도록 하겠습니다.

원래는 설치 완료 후 인증 후 진행해야 하지만 인증 안해도 작동하긴 하므로(?) 이대로 씁니다.

하지만 설치해버리면 삭제는 불가하다는점(...)

이렇게 인증번호를 내놓으라고 협박 합니다.

일단 PC가드에 대해 알아보자면 C:\Program Files\iSecuService 폴더에

Private 폴더와 Pubilc 폴더로 나뉘어져 있습니다.

그리고 iSecuService 폴더는 시스템 파일로 숨겨져 있고

윈도우 시작시 시스템 파일들(sys 파일)들이 실행되어서 프로그램들을 실행시킵니다.

참고로 안전모드에서도 똑같이 실행됩니다.

즉, 프로그램 실행은 Private 폴더안에서 이루어집니다.

역시 무력화를 막기 위해 폴더 진입부터 막아버립니다.

자, 그럼 이제 무력화 하기 위해 만능 명령줄 명령 프롬프트를 관리자 권한으로 실행시켜줍니다.

명령어는 전편 열공백배와 같이 everyone 권한(모든 권한)을 거부하는 식으로 해줍니다.

권한 거부를 걸어줄 확장자들은 시스템 파일 sys와 실행 파일 exe 입니다.

다음과 같이 입력해줍니다.

cd C:\Program Files\iSecuService\private

icacls *.sys /deny everyone:f

icacls *.exe /deny everyone:f

이 명령어들을 쉽게 설명하면

PC가드 폴더의 private 폴더 내부로 이동해서 sys 파일들과 exe 파일들의 모든 권한을 거부한다 정도 됩니다.

명령창에서 성공이 뜨셨으면 이제 재부팅해줍니다.

이제 폴더에 진입이 가능해집니다.

이제 남은 일은 여러분들이 좋아하는 한가지가 있겠죠?

네, 날려주시면 됩니다.