은행, 금융, 증권 및 정부 기관 등의 서비스 이용 시 설치 되는 킹스정보통신(주) (Kings Information & Network Co., Ltd.)의 키보드 보안 프로그램인 K-Defense Manager 의 경우 해당 서비스를 종료 했음에도 프로세스가 여전히 남아 리소스를 잡아 먹고 작업관리자나 admin 권한의 터미널에서도 종료가 되지 않는다.
회사 홈페이지에서 삭제 솔루션을 제공하나, 어차피 관련 서비스를 이용하면 다시 설치해야 하니 재부팅 없이 프로세스를 종료하는 방법이 필요했다. 테스트 한 여러 방법 중 유일하게 오픈소스 툴인 ProcessHacker 만 K-Defense Manager 프로세스 종료에 성공.
참고로, 다음 방법들은 모두 Access Denied로 실패.
- taskkill /im QAXUAAAA.exe /f
- wmic process where name='QAXUAAAA.exe' delete
- sysinternals Process Explorer
- sysinternals pskill
ProcessHacker 설치 파일을 다운로드 하여 설치 하거나 파일 리스트에서 processhacker-x.xx-bin.zip 파일로 설치 없이 사용도 가능.
작업 관리자 처럼 종료시킬 프로세스 목록 위에 우 클릭후 메뉴에서 'Terminate' 실행. 권한 요청 팝업이 뜨고 확인을 누르면 프로세스 종료.
터미널이나 다른 툴에서 종료 불가능한 프로세스가 ProcessHacker에서 가능한 이유가 "윈도우 내부 커널 펑션을 찾는 드라이버를 로드하여 프로세스 종료에 사용하는데 해당 펑션은 멀웨어나 보안 소프트웨어에 의해 후킹되지 않는다"고 한다. 잘 이해가 되지 않는데 소스 코드를 분석해봐야 종료 과정을 알 수 있을 것 같다.
참고로 ProcessHacker 개발은 2016년이 마지막이고, System Informer라는 이름으로 동일한 프로젝트(Official successor)가 현재 개발되고 있는데 System Informer는 K-Defense 프로세스 종료에 실패하였다. Github에서 활발히 소스가 커밋되고 nightly build만 제공하는 걸 보면 아직 리빌딩 중인걸로 보인다.
댓글