네이티브 프로세스 예외
필자 메모 - 네이티브 프로세스 예외
강병탁 / window31 (window31@empal.com / www.window31.com)
월간 마이크로소프트웨어 2009년 5월호
("Bypass AntiVirus" 3회 - 백신을 공격하는 악성코드 中)
네이티브 프로세스를 감염시키는 바이러스는 정말 조심에 조심을 거듭해 치료해야 한다. 네이티브 프로세스를 잘못 건드렸다가는 컴퓨터가 부팅조차 되지 않기 때문이다. 그런데도 아쉽게도 네이티브 프로세스 오진으로 사용자의 컴퓨터를 마비시키는 치명적인 사건이 발생했다는 소식이 아직도 들려온다. 악성코드가 네이티브 프로세스를 건드리는 이유에는 여러 가지가 있겠지만, 그 중 하나는 그 부분을 감염시키면 백신이 건드리기 힘들 것이라는 의도도 포함돼 있다는 것이다. 나를 치료하려다가 이 컴퓨터의 주인에게 오히려 더 큰 원성을 살 것이라는 약삭빠른 계산이다.
안티바이러스 엔진 개발자들은 smss.exe, csrss.exe, lsass.exe, svchost.exe 등 시스템에 반드시 사용되는 프로세스를 치료할 때 삭제할 대상으로 판정돼도 그것을 오진으로 간주, 네이티브 프로세스를 지우는 일만큼은 피할 수 있는 예외를 추가해야 한다. 백신 업데이트 후 컴퓨터 부팅이 되지 않는다는 유저들의 울부짖음은 백신 업체들에게 큰 모욕이자 치명타가 된다.
