- 사라진 폴더의 복원
1) [시작] - [실행]창에서 ‘cmd’를 입력하여 도스 명령창을 띄웁니다.
2) 아래 명령어를 이용하여 정상적인 파일들이 삭제된 경로로 이동합니다.
- USB메모리나 E:\ 파티션에 감염되었다고 가정할 경우 : ex) E: (엔터키)
- C:\windows 폴더에 감염되었다고 가정할 경우 : ex) cd c:\windows (엔터키)
3) cmd에서 attrib /? 치면 attrib에 대한 설명이 나온다. 속성값의 옵션은 "H"이며, 속성값의 추가는 "+" 이고 빼는건 "-"이다. 그러면 생각해보면 간단하게 설정이 가능하다.
(USB 드라이브)> attrib -H /S *.*
여기서 /S는 현재 및 하위폴더까지 모두 옵셔을 제거하는 방법이다.
이 방법으로 USB에 악성코드로 모든파일이 숨겨진 상태를 풀수 있다. 다만 악성파일이 계속 체크하면서 해당파일의 옵션을 계속 숨김으로 한다면...악성파일부터 삭제하고 해당 속성을 변경해야한다.(일반적으로 그냥 풀면 풀리는 경우가 많다)
이 방법외에도 폴더를 아무거나 열고 위에보면 도구 -> 폴더 옵션 -> 보기 -> 고급설정중에 숨김파일 및 폴더 에서 숨김파일 및 폴더 표시를 체크해주면 된다.
- 레지스트리 수동 삭제
모든 치료를 마쳤지만 계속해서 동일한 증상이 나타날 수 있습니다. 그럴 경우에는 아래와 같이 레지스트리편집기에서 해당 값을 찾아 수동으로 삭제해 주시기 바랍니다..
(1) [시작]-[실행]-[열기]부분에 'regedit'(따옴표제외)를 입력하고 확인
(임의로 수정하지말고 해당 레지스트리르 항상 백업해두고 작업해야한다. 잘 모르는상태에서는 검색 후 삭제하길바란다. 윈도우 부팅이 안될 경우가 발생할 수 도 있다,)
'포렌식' 카테고리의 다른 글
| MFT 로그에서 $SI와 $FN 의 특징을 잘 설명된것 (0) | 2020.09.17 |
|---|---|
| Public Replay: THA Deep Dive – Analyzing Malware in Memory (0) | 2013.01.02 |
| Facebook_Forensics-Finalized.pdf (0) | 2011.07.29 |
| 포렌식 자료 (0) | 2010.11.03 |
| 메모리 포렌식 (2) | 2010.08.21 |