소프트웨어 클럽박스 + VMware Tools update = 블루스크린 ㅠㅠ
2011.12.18 18:13
컴퓨터 사용하다보면 블루스크린을 종종 접하게 마련인데,
그 중 꽤 많은 블루스크린의 원인 중 하나는 바로 '클럽박스'입니다.
클럽박스 다운로드프로그램은 다운로드 포인트 해킹 방지를 위해 자체 프로그램을 내부적으로 또 띄우는데,
이게 바로 NOWMEMDF.SYS 파일입니다.
이게 램에 상주하면서 메모리영역을 스캔하면서 자기 프로그램을 해킹할만한 프로그램을 수시로 찾는데요,
문제는 '관계없는' 프로그램들과 충돌을 일으키고, 충돌이 생기면 단순 충돌도 아니고 '블루스크린'으로 직결된다는 점입니다.
과거에 비해 자주 발생하지는 않지만, 그렇다고 아예 발생하지 않는 것도 아닙니다.
그래서 저는 그 사실을 안 이후 무조건 VMware내부에서만 클박을 돌리는데,
이번에 VMware Tools를 업데이트 하다가 또 공포의 블루스크린을 봤네요.
(미처 스샷이나 사진을 찍지못해서, 제껀 아니고 웹에서 퍼온 이미지)
자동재부팅 설정이 되어 있던터라, 설치 다됐는줄 알고 그냥 봤더니 이상하길래 잘 보니 클럽박스가 원인이더군요.
해결법은 간단합니다.
클럽박스 그냥 끄면 됩니다.
(화면에서 X버튼눌러 치우는게 아니라,
트레이에서 종료시켜야함. 물론 그 후 실행프로세스에서도 clubbox.exe나 fscagent.exe같은게 없어야함.)
검색해보면 보면 클럽박스를 레지찌꺼기까지 완전히 제거하라 이러는 얘기도 있는데요,
적어도 제 경험상으로는 NOWMEMDF.SYS는 클럽박스 컨트롤이 실행중일때만 뜨는 것 같습니다.
클박을 최대한 실행자제한 이후로는, NOWMEMDF.SYS 원인의 블루스크린은 한번도 보지 못했으니까요.
이번 사건에서도,
이유를 모르고 몇번을 업데이트 실행시켰는데 계속 실패하길래,
마지막 실패할때는 딴짓 안하고 쳐다보고 있었더니 블루스크린 발생하는 것을 확인했고,
자동 재부팅설정 때문에 빠르게 지나가서 메시지도 보지못했지만,
클럽박스가 원인이라 바로 단정했고,
클럽박스 컨트롤을 단순 종료시키고 업데이트를 실행했더니 바로 말끔하게 업데이트가 완료가 되었습니다.
NOWMEMDF.SYS란게 얼핏 보기엔 그냥 시스템 파일처럼 보이기 때문에,
블루스크린 떠도 영문을 모르고 지나가시는 분들 많으실겁니다. 저도 첨엔 그랬으니까요.
위 사실을 명심하시고 클박사용은 앞으로 조심스럽게 하세요.
그냥 다운받을때만 띄우시면 안전합니다. 물론 블루스크린 떠도 괜찮은 상황이면 포인트 누적을 위해 계속 띄워도 되구요. ^^
댓글 [1]
-
초월신 2011.12.18 19:51
| 번호 | 제목 | 글쓴이 | 조회 | 추천 | 등록일 |
|---|---|---|---|---|---|
| [공지] | 강좌 작성간 참고해주세요 | gooddew | - | - | - |
| 162 | 소프트웨어| 크롬 몇가지 팁 [3] | 꼬마야 | 8838 | 1 | 01-20 |
| 161 | 소프트웨어| USB키보드인채로 PLOP 사용하기 (USB 2.0 MODE + PE) [19] | hazuki | 48384 | 0 | 01-19 |
| 160 | 소프트웨어| 구글 크롬 유용한 확장기능 10개 [8] | APPCRASH | 11645 | 4 | 01-19 |
| 159 | 소프트웨어| USB를 NTFS USB HDD+ 로 만들기 [14] |
|
19295 | 0 | 01-12 |
| 158 | 소프트웨어| [TIP] yy.to 무료 포워딩 절대 쓰지마세요 ! [6] |
|
7767 | 0 | 01-10 |
| 157 | 소프트웨어| 가상으로 5.1 ch 을 들어보자 [8] | Visored | 11920 | 0 | 01-04 |
| 156 | 소프트웨어| 얄약 광고 제거하기 [4] | gooddew | 8517 | 0 | 01-02 |
| 155 | 소프트웨어| 2부 VMware에서 Mac OS X 10.7(Lion) 시동 디스크로 설치하기 [1] | 다른 의견 | 10005 | 0 | 12-24 |
| 154 | 소프트웨어| 1부 VMware에서 Mac OS X 10.7(Lion) 시동 디스크로 설치하기 [6] | 다른 의견 | 14185 | 0 | 12-24 |
| » | 소프트웨어| 클럽박스 + VMware Tools update = 블루스크린 ㅠㅠ [1] | 메리아 | 7307 | 0 | 12-18 |
| 152 | 소프트웨어| VMWare8 OSX 게스트 언락 [2] | 오펜하이머 | 6942 | 0 | 12-18 |
| 151 | 소프트웨어| 알씨리즈 알집 광고삭제 [7] | gooddew | 9185 | 0 | 12-15 |
| 150 | 소프트웨어| 팟플레이어 - HD 동영상 감상법 (CoreAVC관련 구버전)..(펌).. [20] |
|
19698 | 0 | 12-08 |
| 149 | 소프트웨어| 윈도우즈 창닫는방법 [10] | gooddew | 6949 | 0 | 12-07 |
| 148 | 소프트웨어| MS Office 팁 [7] | 커피한사발 | 11138 | 0 | 12-05 |
| 147 | 소프트웨어| Amd Catalyst 서버에 설치하기.. [3] |
|
6644 | 0 | 12-03 |
| 146 | 소프트웨어| 팟플 + divx decoder [8] |
|
9495 | 0 | 12-01 |
| 145 | 소프트웨어| Intenet Explorer 8(IE8)에서 새 창 열었을때 로그인정보 ... [5] | 메리아 | 7033 | 0 | 11-28 |
| 144 | 소프트웨어| PE로 부팅하여 윈도7 을 빠르게 설치하는 방법 [6] | 해밀 | 14842 | 0 | 11-26 |
| 143 | 소프트웨어| PE 내부의 BCD를 BOOTICE 로 수정하는 방법 [11] | 해밀 | 15623 | 0 | 11-23 |
NOWMEMDF.SYS는 일부 시스템 콜을 후킹해서
ReadProcessMemory() 와 WriteProcessMemory() 라는 유저레벨 함수의 동작을 방해합니다.
OllyDbg등의 유저레벨 디버거를 사용하지 못하게 할 목적이긴 한데,
너무 뻔한 방어법이라서, 원리만 알면 디버거를 안써도 다른 툴로 우회시킬 수 있죠
제 기억으론, NOWMEMDF.SYS만 로딩 안시키게 하거나,
NOWMEMDF.SYS가 후킹한 시스템콜을 복구시키는 방법으로 해결이 가능했던걸로 기억되네요.
(제가 본건 예전버전 이었지만...) GMER등의 루트킷 감지툴로 가능하지 않나 싶군요.