데프콘 프로 삭제하는 방법 - 시행착오
프로젝트를 하다 보면, 원치 않게 해당 사이트에서 요구되는 보안 제품을 설치하게 됩니다. 저도 이번에 어쩔 수 없이 설치하게 되었는데요. 문제는... ^^; 실수로, 설치하지 않아도 되는 컴퓨터에까지 설치하는 바람에 불편함이 이만 저만이 아니라는 것입니다.
이번에 제가 설치한 제품은 "데프콘 프로(Defcon Pro)"라는 것인데, "
SaferZone"에서 만든 제품입니다. 웹 사이트 검색을 해보니 그래도 나름 유용한 기능이 많이 있습니다.
PC보안_DefCon
; http://blog.naver.com/jisootag/8937087
아무리 그렇다고 해도... ^^; 원치 않게 설치된 경우에는 그만큼의 괴로움인데요. 웹에서 우선 종료 방법을 찾아봤습니다.
데프콘 프로세스 종료
; http://www.high1.kr/?document_srl=500
종료 방법에서 알 수 있듯이, 서로 프로세스를 감시하면서 대상 프로세스가 종료된 경우 다시 실행해 주는 방법으로 되어 있는데, 위의 제품은 아마도 Defcon 초기 버전에서는 동작되었던 것 같은데, "Defcon Pro" 버전에서는 먹히지 않았습니다. SaferZone 측에서 위와 같은 방법이 공개되는 바람에 어쩌면 프로세스 감시 주기를 좀 더 짧게 설정하지 않았나 싶습니다.
어쨌든... 위의 글에서 공개된 배치 파일 정도로는 msdcomsh.exe, szdcengn.exe, szmq.exe 프로세스가 없어지지 않습니다.
그러다, 얼마전에 봤던 글이 하나 생각났습니다. 제 웹 사이트에도 소개해 드렸었지요. ^^
파수닷컴 DRM, fph.exe 제거하는 방법
; http://www.jiniya.net/tt/780
위의 글에서는 Codeproject에 공개된 아래의 글을 소개해 주고 있습니다.
Hooking the native API and controlling process creation on a system-wide basis
; http://www.codeproject.com/KB/system/soviet_protector.aspx
다운로드 받으니... 어허... ^^; 압축을 풀었는데 "protector.exe" 파일은 있으나 "protector.sys" 파일이 없는 것입니다. 어쩔 수 없이 공개된 소스 코드로 "protector.sys" 파일을 빌드로 만들어내야겠다 생각해서 DDK까지 다운로드 받았습니다.
Download the Windows Driver Kit (WDK)
; https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk
다행히 제가 ^^; DDK 빌드방법(만)을 대강 알고 있었고, codeproject의 그 글에서도 댓글에 보면 빌드 방법이 공개되어 있어서 쉽게 빌드를 할 수 있었습니다. 그래서, "Windows XP Checked Build Environment" 명령어 창을 띄우고 아래와 같이 명령행에서 빌드를 했습니다.
E:\WINDDK\3790~1.183>set MSC_WARNING_LEVEL=/W0
E:\WINDDK\3790~1.183>cd D:\soviet_protector_src\protector_driver\protector
E:\WINDDK\3790~1.183>d:
D:\soviet_protector_src\protector_driver\protector>nmake
Microsoft (R) Program Maintenance Utility Version 7.00.8882
Copyright (C) Microsoft Corp 1988-2000. All rights reserved.
BUILD: Adding /Y to COPYCMD so xcopy ops won't hang.
BUILD: Using 2 child processes
BUILD: Object root set to: ==> objchk_wxp_x86
BUILD: Compile and Link for i386
cl -nologo -Ii386\ -I. -IE:\WINDDK\3790~1.183\inc\mfc42 -Iobjchk_wxp_x86\i386 -I
E:\WINDDK\3790~1.183\inc\wxp -IE:\WINDDK\3790~1.183\inc\wxp -IE:\WINDDK\3790~1.1
83\inc\ddk\wxp -IE:\WINDDK\3790~1.183\inc\ddk\wdm\wxp -IE:\WINDDK\3790~1.183\inc
\crt -D_X86_=1 -Di386=1 -DSTD_CALL -DCONDITION_HANDLING=1 -DNT_INST=0 -DWIN32
=100 -D_NT1X_=100 -DWINNT=1 -D_WIN32_WINNT=0x0501 /DWINVER=0x0501 -D_WIN32_IE=0x
0603 -DWIN32_LEAN_AND_MEAN=1 -DDEVL=1 -DDBG=1 -D__BUILDMACHINE__=WinDDK -DFPO
=0 -DNDEBUG -D_DLL=1 /c /Zl /Zp8 /Gy /Gm- -cbstring /W0 /WX /Gz /GX- /GR
- /GF /GS /G6 /Ze /Gi- /QIfdiv- /hotpatch -Z7 /Od /Oi /Oy- -FIE:\WINDDK\3790~
1.183\inc\wxp\warning.h .\protector.c
protector.c
link -out:objchk_wxp_x86\i386\protector.sys -machine:ix86 @C:\Users\SEON
GT~1\AppData\Local\Temp\nmEDBA.tmp
Microsoft (R) Incremental Linker Version 7.10.4035
Copyright (C) Microsoft Corporation. All rights reserved.
-MERGE:_PAGE=PAGE
-MERGE:_TEXT=.text
-SECTION:INIT,d
-OPT:REF
-OPT:ICF
-IGNORE:4198,4010,4037,4039,4065,4070,4078,4087,4089,4221
-INCREMENTAL:NO
-FULLBUILD
/release
-NODEFAULTLIB
/WX
-debug
-debugtype:cv
-version:5.1
-osversion:5.1
/functionpadmin:5
/safeseh
/pdbcompress
-STACK:0x40000,0x1000
-driver
-base:0x10000
-align:0x80 /stub:E:\WINDDK\3790~1.183\lib\wxp\stub512.com
-subsystem:native,5.01
-entry:GsDriverEntry@8
-out:objchk_wxp_x86\i386\protector.sys
objchk_wxp_x86\i386\protector.obj
E:\WINDDK\3790~1.183\lib\wxp\i386\BufferOverflowK.lib
E:\WINDDK\3790~1.183\lib\wxp\i386\ntoskrnl.lib
E:\WINDDK\3790~1.183\lib\wxp\i386\hal.lib
E:\WINDDK\3790~1.183\lib\wxp\i386\wmilib.lib
E:\WINDDK\3790~1.183\lib\wxp\i386\sehupd.lib
echo Skip Binplace:
Skip Binplace:
그런데... 그사이 커널이 많이 변경된 것일까요? Vista에서는 아예 동작을 하지 않았고, 글에서는 테스트가 되었다고 하는 XP SP2 환경에서조차도 완전히 오동작을 해버려서 컴퓨터를 재부팅해야 하는 상황까지 가버리는 것이었습니다. 쩝!!!!
할 수 없이 이 방법을 포기하고 다른 방법을 찾아봤는데... 의외로 "protector.exe"와 같은 기능을 하는 공개 프로그램들이 검색되지 않았습니다. DDK를 하는 사람들은 그다지 정보 공개나 유틸리티 작성에는 인색한가 봅니다. 그렇게 어렵진 않을 터인데... 이 나이에 제가 DDK를 공부해서 제작하기도 좀 그렇고. ^^
암튼... 여기까지 데프콘 프로를 종료하기 위한 방법을 적용해본 시행착오 과정입니다.
행여나 이 글을 본 뜻 있는 사람이 제발 보안 프로그램을 쉽게 종료할 수 있도록 "
protector.exe"와 같은 프로그램을 다양한 윈도우 버전에서도 잘 동작하는 걸로 공개해 주길 바랍니다. ^^