창과 방패/무력화2020. 1. 18. 18:31

안녕하세요, 반도의 컴덕 컴사람 입니다.

이번에는 저번에 깔았다가 잘못해서 지워버린(...) 열공백배 무력화를 하겠습니다.


저번에 지워버린 열공백배는



다시 깔고 새로 시작합니다.



작업관리자를 띄우고 프로세스를 찾으면 vmasvc.exe와 vmaui.exe가 있습니다. 얘들이 열공백배 프로그램들 입니다.

이제 얘들을 종료시켜야 합니다.



프로세스 종료는 당연하게도 안됩니다.

일단 본진으로 찾아가봅시다.


경로는 C:\Windows 입니다.



속성창을 띄우려고 해도 금방 닫혀버립니다.

흠... 일단은 안전하게 서비스나 시작프로그램 부터 찾도록 하겠습니다.



시스템 구성 msconfig.exe를 띄우면 서비스 텝에 vmasvc가 있습니다. 이 서비스의 체크를 빼줍니다.



마찬가지로 시작프로그램에서 bs9_loader의 체크도 해제해 줍니다.

그리고 확인 누르면 재부팅 하시겠습니까 묻는데 재부팅 해줍니다.



구성 준비에 걸려버렸습니다;;



다시 켜도 무력화는 안되었습니다.

그러나 서비스는 작동이 안되어집니다. 이제 본격적으로 무력화를 하도록 하겠습니다.


원래대로라면 프로그램의 속성 > 보안 텝에서 권한을 거부시켜줘야 하겠지만 이번에는 그 방법이 먹히지 않습니다.

그래서 그 방법을 응용시켜보겠습니다.



일단 우선적으로 무력화 할 목록은 이렇습니다.


vmasvc.exe

vmaui.exe

wcatdrv.sys


이제 명령 프롬프트를 관리자 권한으로 띄워줍니다.



일단 안전하게 가기 위해서 소유자 권한을 한번 먹여줍니다.


일단 cd..을 이용하여 C:\windows\ 로 맞춰 준 뒤


takeown /f c:\windows\vmasvc.exe

takeown /f c:\windows\vmaui.exe

takeown /f c:\windows\wcatdrv.sys


를 입력해서 권한을 먹여줍니다.


성공이 뜨면 성공입니다.



이제 권한을 거부할 차례입니다, 아래 명령어를 차례대로 입력하면 됩니다.


icacls wcatdrv.sys /deny everyone:f

icacls vmasvc.exe /deny everyone:f

icacls vmaui.exe /deny everyone:f


이 명령어들을 굳이 해석하자면 "지정 파일의 모든 권한을 모든 유저 거부로 조정한다"가 됩니다.



이제 세 파일들이 처리되었다고 뜨면 재부팅을 해줍니다.



이제 아무창도 뜨지 않습니다. 무력화 성공했습니다.



방금 전에 모든 유저 모든 권한 거부를 했기 때문에 실행이 안됩니다. 이제 C:\Windows\ 로 이동합니다.



이제 속성을 띄우면 속성창이 잘 뜹니다. 보안 텝으로 이동합니다.



보안 탭에 가면 권한이 거부된 것이 보입니다.

이제 삭제할 수 있게 편집을 눌러줍니다.



사용 권한에 수정만 거부 해제한 뒤 확인을 눌러 적용해 줍니다.



이제 지워주면 끝입니다.



'창과 방패 > 무력화' 카테고리의 다른 글

열공백배 더 쉬운 무력화  (8) 2021.01.06
PC가드 무력화  (9) 2020.02.17
엑스키퍼 무력화  (0) 2019.08.24
맘아이를 뚫어보자  (20) 2019.06.22
i안심을 뚫어보자  (7) 2019.03.16
Posted by 컴사람