삼성서울병원에서 제공하는 발급 문서 위변조방지 검증 프로그램 설치 및 제거 방법, 프로그램 설치후 생성되는 파일, 부팅시마다 자동으로 실행되는 프로세스 정보에 대해서 알아보겠습니다.
테스트한 설치파일 상세정보
파일이름 : new_smc_identity.exe
파일해시 MD5 : 857bcc7e337ae638fdb574b286b6ff3c
파일해시 SHA1 : b011a5cd63137ab25b23d5180684ec1b6f3ddb4a
파일해시 SHA256 : 93866f557a56713a4130b703a8947da70946cbc8432ebb7ff5c8bbb9f7ff34d5
디지털 서명 : MarkAny Inc.
디지털 서명자 : VeriSign Class 3 Code Signing 2010 CA
파일 사이즈 : 9.1MB (9,494,352 Bytes)
프로그램 설치하기
설치 클릭.
별다른 메세지 없이 자동 설치됩니다. 확인 클릭.
프로그램이 설치된 폴더의 트리입니다. 자세한 내용은 본문하단 로그를 참고하세요.
작업관리자 실행화면입니다.
아래 보이는 프로세스는 부팅시마다 자동으로 실행됩니다.
C:\Windows\System32\ImageSAFERStart_X64.exe
C:\Windows\System32\ImageSAFERStart_X86.exe
C:\Windows\ImageSAFERSvc.exe
자동 실행되는 서비스 중지시키는 방법
작업관리자 - 서비스 탭으로 이동해서 서비스 열기 클릭.
* 참고로 이 서비스를 중지시키면 병원에서 발급받은 문서의 위변조를 검증할 수 없습니다.
서비스 관리도구가 실행됩니다.
Image Protect Service (ImageSAFER 4.0 Service) 를 찾아서 더블클릭하세요.
서비스 속성화면이 나옵니다.
1. 중지 클릭
2. 시작 유형을 사용안함으로 변경
3. 확인 클릭
이렇게 설정을 변경하면 이 프로세스는 더이상 자동 실행이 되지 않습니다. 서비스 창은 닫으면 됩니다.
프로그램을 제거하는 방법
시작 - 우클릭 - 앱 및 기능 실행.
삼성서울병원 위변조방지 검증 프로그램(remove only) 를 찾아서 제거클릭
프로그램을 삭제할건지 물어보는데 삭제 클릭.
프로그램이 정상적으로 제거되었습니다. 확인 클릭.
위변조방지 검증 프로그램을 설치할 때 AIReport5.5 라는 프로그램도 같이 설치가 되는데 이 프로그램도 지우세요.
Next 클릭.
시스템폴더에 공유된 파일을 지울건지 물어보는데 Yes 클릭.
No 를 클릭해도 상관은 없습니다.
프로그램이 제거되었습니다. Finish 클릭.
프로그램 설치후 생성되는 파일 및 레지스트리 모니터링 결과
실행중인 프로세스
C:\Windows\System32\ImageSAFERStart_X64.exe
C:\Windows\System32\ImageSAFERStart_X86.exe
C:\Windows\ImageSAFERSvc.exe
윈도우 서비스
C:\Windows\ImageSAFERSvc.exe - Image Protection - Image Protect Service (ImageSAFER 4.0 Service)
드라이버 서비스
C:\Windows\system32\ImageSAFERDrv64.sys - ISMgr - Image SAFER Process Managerment NT.
프로그램 추가/제거
AIReport5.5 - activeintra - C:\Program Files (x86)\AIViewer50\uninstall.exe /U:C:\Program Files (x86)\AIViewer50\Uninstall\uninstall.xml - C:\Program Files (x86)\AIViewer50 - AIReport5.55.5.0.16
삼성서울병원 위변조방지 검증 프로그램(remove only) - - C:\Program Files (x86)\MarkAny\DetectorX_SSH\uninstall.exe - - DetectorX_SSH
파일 생성 목록 (일부 공용 라이브러리 파일 제외)
C:\Program Files (x86)\AIViewer50\AICommon.dll
C:\Program Files (x86)\AIViewer50\AIEng.dll
C:\Program Files (x86)\AIViewer50\AIImage.dll
C:\Program Files (x86)\AIViewer50\AILoad.dll
C:\Program Files (x86)\AIViewer50\AISave.dll
C:\Program Files (x86)\AIViewer50\AIViewer.exe
C:\Program Files (x86)\AIViewer50\AIViewer.ocx
C:\Program Files (x86)\AIViewer50\CleanAI50.exe
C:\Program Files (x86)\AIViewer50\lua5.1.dll
C:\Program Files (x86)\AIViewer50\ToolkitPro1031vc60U.dll
C:\Program Files (x86)\AIViewer50\UninstAIReport.exe
C:\Program Files (x86)\AIViewer50\uninstall.exe
C:\Program Files (x86)\MarkAny\DetectorX_SSH\DetectorX.exe
C:\Program Files (x86)\MarkAny\DetectorX_SSH\DSCC2CAPI.dll
C:\Program Files (x86)\MarkAny\DetectorX_SSH\DSCToolkit.dll
C:\Program Files (x86)\MarkAny\DetectorX_SSH\INIcrypto20.dll
C:\Program Files (x86)\MarkAny\DetectorX_SSH\libINISafeNet.dll
C:\Program Files (x86)\MarkAny\DetectorX_SSH\LibMAPKCS.dll
C:\Program Files (x86)\MarkAny\DetectorX_SSH\MSVCRTD.DLL
C:\Program Files (x86)\MarkAny\DetectorX_SSH\nsldap32v11.dll
C:\Program Files (x86)\MarkAny\DetectorX_SSH\uninstall.exe
C:\Windows\ImageSAFERSvc.exe
C:\Windows\System32\ImageSAFERDrv64.sys
C:\Windows\System32\ImageSAFERDrv64xp.sys
C:\Windows\System32\ImageSAFERFilter.dll
C:\Windows\System32\ImageSAFERMessage.exe
C:\Windows\System32\ImageSAFERMgr.dll
C:\Windows\System32\ImageSAFERProcMon.dll
C:\Windows\System32\ImageSAFERRecovery.exe
C:\Windows\System32\ImageSAFERStart_X64.exe
C:\Windows\System32\ImageSAFERStart_X86.exe
C:\Windows\System32\IMGSFMgr.dll
C:\Windows\SysWOW64\Cfx4032.ocx
C:\Windows\SysWOW64\ImageSAFERFilter.dll
C:\Windows\SysWOW64\ImageSAFERMessage.exe
C:\Windows\SysWOW64\ImageSAFERMgr.dll
C:\Windows\SysWOW64\ImageSAFERProcMon.dll
C:\Windows\SysWOW64\ImageSAFERRecovery.exe
C:\Windows\SysWOW64\IMGSFMgr.dll
C:\Windows\SysWOW64\MagicCrypto.dll
C:\Windows\SysWOW64\nsldap32v11.dll
C:\Windows\SysWOW64\SfxBar.dll
C:\Windows\SysWOW64\TBarCode4.ocx
바로가기 생성 목록
C:\Users\Public\Desktop\삼성서울병원 위변조방지 검증 프로그램.lnk
C:\Users\사용자이름\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AIReport5.5\AIViewer.lnk
C:\Users\사용자이름\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AIReport5.5\CleanAI50.lnk
C:\Users\사용자이름\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AIReport5.5\UninstAIReport.lnk
C:\Users\사용자이름\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\삼성서울병원 위변조방지 검증 프로그램\DetectorX_SSH.lnk
C:\Users\사용자이름\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\삼성서울병원 위변조방지 검증 프로그램\Uninstall.lnk
설치한 두개의 프로그램을 지워도 이미지 세이퍼라는 마크애니 보안 프로그램은 삭제되지 않고 그대로 남아있습니다.
서비스를 수동으로 삭제하는 방법입니다.
명령프롬프트를 관리자 권한으로 실행하고 아래 명령어를 복사하고 붙여넣기하세요.
taskkill /im ImageSAFERStart_X64.exe /f
taskkill /im ImageSAFERStart_X86.exe /f
taskkill /im ImageSAFERSvc.exe /f
sc delete "Image Protection"
sc delete "ISMgr"
프로그램 설치 및 삭제 테스트 영상입니다. 본문에 있는 내용인데 추가로 올립니다.
유튜브 채널을 만들었습니다. 구독 및 좋아요 눌러주세요.
https://www.youtube.com/channel/UCtUrGOwu_oeWuZm6wcIu_Pg