서든어택 불법 프로그램 [ adams]에 대한 디지털 포렌식 접근

아담스... 서든어택 핵에선 신처럼 여겨지는 존재죠

닉네임에도 x담스 무슨무슨담스 이런식으로 쓰는 거 보면요.

​

모든 불법프로그램의 사용은 어떻게 해서든 증거가 있고, 또 증거를 남깁니다.

디지털 증거는 쉽게 지울 수 있지만, 또 새로운 아티팩트가 계속 추가되고있구요.

​

절대 악은 선을 이길 수 없습니다.

​

아담스를 잡는 방법 ? 간단합니다.

​

아담스는 NGM이라는 프로그램을 위장해서 사용합니다.

NGM의 디지털서명을 확인하면되겠죠. 아담스는 디지털 서명이 존재하지 않습니다.

고로 완벽한 핵이 아닙니다.

위 사진은 일반적인 넥슨의 업데이트 로그입니다.

​

​

위 사진은 아담스의 셋업 로그입니다.

​

둘의 차이점이 보이시나요 ? 아담스는 원격이 들어오면, 위장한 파일을 원본으로 바꾸기 위하여, 파일을 원본으로

위장합니다. 만약 저게 정상적인 업데이트라면 이름이

nghttp://m.exe_0.tmp로 바뀌었다가 파일을 삭제하고 ngm.exe로 바뀌는 그러한 성질을 보여야할 것입니다만...

아쉽지만 아담스 개발자는 세심한 로그까지 볼 줄은 몰랐던 겁니다.


아담스의 프로그램 속성입니다.

보시면 디지털 서명이 빠진걸 볼 수 있죠.

디지털 서명은 파일의 지문인 해시(Hash)에 변조되지 않았음(무결성)을 증명하는 요소입니다.

그렇기에 겉 보기만 크롬이지 현실상 정상적인 크롬-셋업이 아니라는 것을 증명하는 요소라고 볼 수 있습니다.

​

파일 공유는... 악성코드기 때문에 불가할 듯 합니다.