소프트웨어 클럽박스 + VMware Tools update = 블루스크린 ㅠㅠ
2011.12.18 18:13
컴퓨터 사용하다보면 블루스크린을 종종 접하게 마련인데,
그 중 꽤 많은 블루스크린의 원인 중 하나는 바로 '클럽박스'입니다.
클럽박스 다운로드프로그램은 다운로드 포인트 해킹 방지를 위해 자체 프로그램을 내부적으로 또 띄우는데,
이게 바로 NOWMEMDF.SYS 파일입니다.
이게 램에 상주하면서 메모리영역을 스캔하면서 자기 프로그램을 해킹할만한 프로그램을 수시로 찾는데요,
문제는 '관계없는' 프로그램들과 충돌을 일으키고, 충돌이 생기면 단순 충돌도 아니고 '블루스크린'으로 직결된다는 점입니다.
과거에 비해 자주 발생하지는 않지만, 그렇다고 아예 발생하지 않는 것도 아닙니다.
그래서 저는 그 사실을 안 이후 무조건 VMware내부에서만 클박을 돌리는데,
이번에 VMware Tools를 업데이트 하다가 또 공포의 블루스크린을 봤네요.
(미처 스샷이나 사진을 찍지못해서, 제껀 아니고 웹에서 퍼온 이미지)
자동재부팅 설정이 되어 있던터라, 설치 다됐는줄 알고 그냥 봤더니 이상하길래 잘 보니 클럽박스가 원인이더군요.
해결법은 간단합니다.
클럽박스 그냥 끄면 됩니다.
(화면에서 X버튼눌러 치우는게 아니라,
트레이에서 종료시켜야함. 물론 그 후 실행프로세스에서도 clubbox.exe나 fscagent.exe같은게 없어야함.)
검색해보면 보면 클럽박스를 레지찌꺼기까지 완전히 제거하라 이러는 얘기도 있는데요,
적어도 제 경험상으로는 NOWMEMDF.SYS는 클럽박스 컨트롤이 실행중일때만 뜨는 것 같습니다.
클박을 최대한 실행자제한 이후로는, NOWMEMDF.SYS 원인의 블루스크린은 한번도 보지 못했으니까요.
이번 사건에서도,
이유를 모르고 몇번을 업데이트 실행시켰는데 계속 실패하길래,
마지막 실패할때는 딴짓 안하고 쳐다보고 있었더니 블루스크린 발생하는 것을 확인했고,
자동 재부팅설정 때문에 빠르게 지나가서 메시지도 보지못했지만,
클럽박스가 원인이라 바로 단정했고,
클럽박스 컨트롤을 단순 종료시키고 업데이트를 실행했더니 바로 말끔하게 업데이트가 완료가 되었습니다.
NOWMEMDF.SYS란게 얼핏 보기엔 그냥 시스템 파일처럼 보이기 때문에,
블루스크린 떠도 영문을 모르고 지나가시는 분들 많으실겁니다. 저도 첨엔 그랬으니까요.
위 사실을 명심하시고 클박사용은 앞으로 조심스럽게 하세요.
그냥 다운받을때만 띄우시면 안전합니다. 물론 블루스크린 떠도 괜찮은 상황이면 포인트 누적을 위해 계속 띄워도 되구요. ^^
댓글 [1]
-
초월신 2011.12.18 19:51
| 번호 | 제목 | 글쓴이 | 조회 | 추천 | 등록일 |
|---|---|---|---|---|---|
| [공지] | 강좌 작성간 참고해주세요 | gooddew | - | - | - |
| 4503 | 호환이 안된다는 드라이버 강제로 적용하는 방법 [1] | ASUS | 13190 | 0 | 10-13 |
| 4502 | ASUS,LG....자동인증 씨디 만들기 [4] | 왕대인 | 14835 | 0 | 10-13 |
| 4501 | 구매시 XP가 기본 장착된 모델인 경우 개조안하고 VISTA O... [5] |
|
9791 | 0 | 10-13 |
| 4500 | 구매시 XP가 기본 장착된 모델인 경우 VISTA OEM으로 [6] |
|
11455 | 0 | 10-13 |
| 4499 | 기 타| 종이로 시디케이스 만들기(두가지) [5] | gooddew | 11681 | 0 | 10-14 |
| 4498 | VISTA의 BCDEDIT로 간단히 XP 멀티부팅정보 추가하기 [1] |
|
11482 | 0 | 10-16 |
| 4497 | 미디어플레이어 64비트 설정 방법 [4] | 히로 | 10667 | 0 | 10-18 |
| 4496 | 탐색기에서 파일이동 복사하기 메뉴만들기 [2] | gg | 10218 | 0 | 10-27 |
| 4495 | 윈도탐색기에서 보기옵션 고정하기 [3] | gg | 10374 | 0 | 10-27 |
| 4494 | Xp 가 탑제된 컴의 Vista 인증원리 [2] |
|
12289 | 0 | 10-27 |
| 4493 | [Vista] 레디부스트 지원 안되는 USB 사용방법!? [5] | 김용환 | 11108 | 0 | 10-30 |
| 4492 | 비스타 RC 버전 인증기 [4] | 묵은지 | 12086 | 0 | 10-31 |
| 4491 | ReadyBoost, Qsoft의 RamDisk로 "체험"하기 [1] |
|
13853 | 0 | 11-04 |
| 4490 | 즐겨찾기 목록 폴더 자동 원상복구 [1] | 퍼온이 | 10367 | 0 | 11-04 |
| 4489 | 지포스 최신 드라이버 설치시 카트라이더 문제점 해결.. [1] |
|
9586 | 0 | 11-13 |
| 4488 | 기 타| JRSKD24.SYS 손상에 의한 부팅불가시 복구법..!! [4] | gooddew | 13996 | 0 | 11-14 |
| 4487 | 기 타| 비스타 버전별 기능 [6] | gooddew | 10130 | 0 | 11-17 |
| 4486 | 비스타 서팩1 설치 안될때의 설치방법 제안! [5] | 테스트맨 | 9403 | 0 | 11-17 |
| 4485 | sp1 rc v658 삭제 [4] |
|
7947 | 0 | 11-18 |
| 4484 | 비스타 SP1 v658설치 [4] | 비스타유져 | 8848 | 0 | 11-18 |
NOWMEMDF.SYS는 일부 시스템 콜을 후킹해서
ReadProcessMemory() 와 WriteProcessMemory() 라는 유저레벨 함수의 동작을 방해합니다.
OllyDbg등의 유저레벨 디버거를 사용하지 못하게 할 목적이긴 한데,
너무 뻔한 방어법이라서, 원리만 알면 디버거를 안써도 다른 툴로 우회시킬 수 있죠
제 기억으론, NOWMEMDF.SYS만 로딩 안시키게 하거나,
NOWMEMDF.SYS가 후킹한 시스템콜을 복구시키는 방법으로 해결이 가능했던걸로 기억되네요.
(제가 본건 예전버전 이었지만...) GMER등의 루트킷 감지툴로 가능하지 않나 싶군요.