해킹 증거를 잡을 수 있나요? - ASK미국

p**erock****** 님 답변 답변일 12/23/2012 8:18:08 PM

댁이 어디신가요? 라우러가 집에 있고 써비스 프로바이더가 댁의 전화번호와 관련있어서 물어봤어요
고정아이핀가요? 서비스 프로바이더를 바꾸면 아이피를 random 으로 받기에 아이피 range가 달라지니 선생님의 아이피가 바뀌지요.
포멧을 하셨다고 하셨는데 포멧후 소프트웨어를 깔았나요? 가지고 계신 소프트웨어에 바이러스나 스파이웨어 혹은 유사한 것 이 있을 가능성이 있습니다.
게시판 같은 곳에 주최측을 자극하는 글을 가능한 한 올리지 마십시요.
게시판에는 로그파일이 생성되는데 아이피가 등록이 되지요.
물론 고정아이피가 아닌한 라우터를 껏다 킬때마다 다른 아이프를 받아서 아이피가 달라질수 있으나 만약에
선생님의 아이피가 노출된후 라우터를 껏다 켜지 않았을 경우 아이피를 따라서 선생님의 컴퓨터에 역핵킹이 가능합니다.
윈도계열일경우 선생님의 컴퓨터가 보완이 철저하지 않을 경우 unc path를 이용하면 아주 쉽게 선생님의 컴퓨터에 들어올수도 있습니다.
그럴경우 보통 역핵킹하는 분은 c drive 에 있는 boot .ini 파일만 살짝 변경하고 사라지는 경우가 있지요.
그럼 선생의 컴퓨터는 다음에 부팅시에 컴퓨터가 부팅이 안되게되지요.
Boot.ini 파일을 건들지 않고 파일을 지우거나 옮겨 놓는 장난을 할수도 있지요.

선생님은 상당히 오랫동안 컴퓨터 문제로 상당한 시간을 낭비하셨는데 그 정도 낭비를 하셨다면 연구와 고민 끝에
전문가 수준으로 올라 가셨을 가능성 조차 았네요.

헤킹 들어오는 것을 감시해주는 프로그램이 인터넷을 뒤지면 나와있어요.
보통 그런 소프트웨어는 방화벽시스템이 소프트웨어로 있습니다.
구입하셔서 방어도 하시고 역추적을 하실수 있습니다.

바이러스 퇴치 프로그램으로 grisoft 의 avg 를 사용하시길 권장하구요.
Registry를 에딧할수 있는 간단한 지식을 갖추시고
간단한 윈도우 시스템 지식만 익히시면 문제 해결될거 같습니다.
가까이 있다면 시간을 할여해서 가르쳐드리거 싶긴 하네요.

e**w**** 님 답변 답변일 12/24/2012 9:03:02 AM

Pinerocknc님, 도움 말씀 감사합니다.

먼저번에 망가진 컴이 하드디스크의 입출력 장치가 작살났던 것 같습니다.
첵크해봤더니 하드디스크의 파티션 하나가 문제 있다는 진단이 나왔고
이 문제는 컴을 포맷해도 고쳐지지 않더니 어느 날 아침 아예 먹통이 되어버렸습니다.

컴 때문에 상당한 시간을 낭비했지만 워낙에 컴맹이라 별로 알게 된 것이 없습니다.
나이가 많아 복잡한 것을 공부할 상태가 안되기도 하구요.

아이피가 노출된 정도를 넘어 그곳에선 아예 제 아이피를 줄줄 외고 있습니다.
라우터 껐다 켜도 소용 없습니다.

해킹 감시 프로그램이 있군요. 얼마나 효과가 있을까요?
그 해커는 거의 천재급이라 아무 것도 소용 없을 것 같아요.

그리고 오늘 아침에 netstat을 쳐봤더니
Local Address에 제 라우터의 아이피와 모르는 아이피 하나가 떴었는데 이것 정상인 것인지요?
Foreign Address에 있는 아이피들은 뭐가 뭔지 모르겠습니다.

e**w**** 님 답변 답변일 12/24/2012 9:18:20 AM

Local Address 에 잡힌 아이피가 127. 0.. 0. 1 인데 이게 뭔가 조사해보다 다음과 같은 내용을 보았습니다.

It is also used by computer malware to assign legitimate websites to the localhost
to prevent the end-user from seeking legitimate computer security assistance with malware infection.

뭔가 악성 맬웨어 같기도 한데 이해가 잘 안됩니다.

p**erock****** 님 답변 답변일 12/24/2012 12:13:30 PM

127.0.01이것은 신경 안쓰셔도 됩니다. Local host ip 라고 하는데요. 인터넷이 연결이 안될때 ipconfig command 를 치면 이 아이피가 나오지요.
수시로 netstat -na 를 명령어로 쳐서 확인하신다음 인터넷에 virtual route 이라는 프로그램을 가지고 역추적이 가능합니다.
맥퍼센트 역추적은 불가하구요 서비스 프로바이더의 협조가 있어야 되니 경찰의 지원이 필요합니다. 영장을 받아야 서비스 프로바이더에서 로그파일이나 사용자 아이피 아이디등을 오픈해주거든요. 또 서버의 위치에 따라서 아이피의 주소가 엉뚱한 위치를 알려주기도 하지만 서비스 프로바이더하고 협조를 한다면 헤킹을 하는 사람의 위치도 파악이 가능합니다.

p**erock****** 님 답변 답변일 12/24/2012 12:58:38 PM

파티션이 나빠졌을때 fdisk나 웨스턴 디지탈일 경우 자체프로그램으로 파티션을 다시 나눌수도 있고 윈도우
부팅 디스크로도 파티션을 지우고 다시 나눌수 있습니다. 하지만 하드디스크가 망가졌다면 버리고 다른 하드디스크로
교체해야겠지요.
그런데 중요한 것은 선생님의 하드디스크가 왜 망가지느냐입니다. 원래부터 디펙트 제품이냐 아니면 선생님이 가지고
계신 카피본 소프트웨어에 바이러스가 있어서 파티션이나 섹터를 망가트리는 지 만약 바이러스가 소프트웨어에
포함되어있다면 하드디스크 바꾸어도 같은 증상이 나오겠지요. 샵에 가실때 인스톨하시는 소프트웨어 모두 가져가셔서
바이러스 첵업을 해달라고 하세요.
님이 얼마나 앤티활동을 하셨는 지 모르나 그렇다고 선생님의 컴퓨터를 사용못하게 할정도로 시간 많은 헤커는 없을 겁니다.
그럴시간 있으면 좀더 생산적인 헤킹을 하겠지요.
저의 진단은 선생님의 소프트웨어 카피본에 ㅂㅏ이러스 가 wrapping 되어 있다고 봅니다.
님의 컴퓨터에 들랑 달랑하는 헤커의 동향을 감시하는 프로그램이 있어요 인터넷에서 찾아보시기 바람니다.
보통 netstat -na 로 어떤 포트가 열렸는 지 확인할수 있으니 포트를 닫아버리면 문이 닫히니 들어올수가 없지요.
인터넷은 80포트를 쓰고 netbus 는 12345와 12346을 씁니다 . Smtp port는 25번 을 쓰는데 이상한 아이피가
사용하는 포트 넘버를 닫아주면 들어올수 없 됩니다.
파이얼 기능이 잘 되어있고 포트를 막아주는 기능이 있는 소프트웨어를 샤핑해보시기 바랍니다

e**w**** 님 답변 답변일 12/24/2012 2:01:07 PM

Pine님 계속 감사합니다.

- fdisk 를 쳐봤더니 'fdisk' is not recognized as an internal or external command 랍니다.

- 컴을 공장상태로 format 할 때 쓰는 소프트웨어를 샾에서 제공받지 않았습니다.
그래서 컴에서 백업 USB 에 복사해 놓았습니다.

- 지난번 공장상태로 포맷할 때 백업 USB를 쓰지 않고 HDD에 있는 Recorvery를 사용했습니다.

- 시간이 많은 해컨지는 잘 모르나 "지구 끝까지 쫓아다니며 패겠다"고 공공연히 공언했습니다.

- 경찰에 신고를 해야 문제가 해결될 것 같은데, 그래야 인터넷 서비스 프로바이더의 협조를 받아
가해자를 잡아낼 수 있을텐데, 그러자면 증거를 확보해야 할텐데, 시중에 나온 프로그램으로
증거 확보가 안되면 경찰에 신고할 수가 없겠지요. 신고야 할 수 있겠지만 케이스 넘버가 안나오고
그냥 기각되겠지요.

- 일단 HDD에 패스워드를 설정했으니 좀 도움이 되는지 지켜보겠습니다.

- 그런데 제 컴에 Adminstrator가 있고 Supervisor 도 있는 것 같은데,
전 이상하게 단순 User 에 불과하고 Administrator 도 Supervisor도 아닌듯 합니다.
Control Panel에 들어가서 첵크해보면 분명 Administrator / password protected 가 보이는데,
chkdsk 커맨드를 실행할 자격이 없다는 걸로 미루어 단순 유저에 불과한 듯 합니다.
어떻게 이럴 수가 있는지 이해가 안됩니다.
지난번 망가져서 버린 컴에서도 chkdsk 커맨드를 실행하는데 아무 문제가 없었는데 이상합니다.

e**w**** 님 답변 답변일 12/24/2012 2:08:48 PM

그리고 말씀 읽어보니 Port를 닫는 프로그램이 도움이 될 것 같기는 한데 머리가 많이 아파집니다.

휴, 보이지 않는 유령에게 매맞는 기분 이거 당해보지 않은 분들은 이해가 잘 안될겁니다.

p**erock****** 님 답변 답변일 12/24/2012 11:51:05 PM

Fdisk 는 도스 상태에서만 됩니다.
Administrator는 컴퓨터가 만들어지면서 가지게된 built in 관리자 유서네임입니다.
Superuser도 마찬가지인거 같은데 원래있는 거 같던데 http://en.wikipedia.org/wiki/Superuser 여기 참고로 읽어보세요.
헤커가 메세지를 남겨 놓은 모양이죠?
chkdsk는 여기를 참조해보세요. http://smsinfo.tistory.com/184 과 http://windows8themes.org/how-to-run-chkdsk-in-windows-8.html

p**erock****** 님 답변 답변일 12/25/2012 12:00:40 AM

Windows 8에서 Chkdsk 사용가능하게 하려면 선생님이.
1. 관리자 권한을 가지고 로그인 한다음(개인컴퓨터면 당연한 이야기죠?)
2. Commnad windows를 데스크탑에 숏컷으로 만든뒤
3. 그 숏컷에 오른쪽 마우스를 크릭하면 관나라로서 라는 메뉴가 나오는데 그것을 선택하시고
4. Chkdsk c: /f 아라고 명령을 내리면 관리자가 아니라서 액세스 못한다는 말 안나오겠네요.

e**w**** 님 답변 답변일 12/25/2012 9:14:15 AM

Pine님, Command Prompt를 Right click한 다음 Run as Adminstrator 를 찍으니까

C:/Windows/system32> 로 바뀌는군요 (역 / 슬래시는 자판 어디에 있나요?)

그 다음에 chkdsk: c:/f 를 했더니 다음과 같은 메시지가 떴습니다.

The type of the file system is WTFS. cannot lock current drive.
Chkdsk cannot run because the volume is in use by another process.

그래서 컴을 Restart 하니까 Check 와 Repair 를 가동하더군요.

휴, 뭐가 뭔지 참 복잡합니다.

소개해주신 사이트 두개는 지금 가보려고 합니다.

e**w**** 님 답변 답변일 12/25/2012 11:28:49 AM

아무튼 chkdsk c:/f 는 컴을 리스타트하면 제대로 작동했습니다.

그런데 chkdsk c:/r 을 해봤더니 27%에서 작동을 멈추더니 한시간 이상 아무것도 되지가 않아
온오프 스위치로 컴을 다시 부팅해야 했습니다.

하드디스크에 문제가 있긴 있는 것 같아 내일 컴샵으로 달려가봐야 할 것 같습니다.
괴롭습니다.

[여행/취미/일상] 상담 글 질문에 공감하시면 '나도 궁금해요'버튼을 눌러주세요.

Q.해킹 증거를 잡을 수 있나요?

회원 답변글

여행/취미/일상 분야 질문 더보기 +

추천전문가 전문가 리스트+

인기 상담글

ASK미국 공지 더보기 +

미국생활 TIP 더보기 +