사용한 버전 V3lite
안랩 Uninst.exe가 UserAssist에 찍힐 수 있다.
UserAssist에 찍힌 것은 GUI 환경에 대해 실행된 이력이다.
안랩 V3는 Uninst.exe를 단순히 더블클릭해서 실행시킨다고 동작하지 않는다.
cmd나 powershell 환경에서 관리자 권한으로
Uninst.exe -Uninstall //Uninstall 옵션을 넣어줘야함
안랩 폴더 경로는 다음과 같다.
C:\Program Files\AhnLab\V3Lite40\
여기에 안랩 핵심 파일들이 들어가 있는 것 같다.
sys 파일, dll 파일 등등
참고로 V3UI.exe랑 ASDSvc.exe는 하루마다 V3에서 실행되는 느낌이다.
V3가 동작 중지되거나, 삭제되면 위에 2개 프로그램에 대한 아티팩트가 그 기점 이후로 기록되지않음
안티 바이러스 솔루션의 핵심 sys 파일 같은 것을 파괴?? 시키는 악성 코드들이 있다고 알고 있음(코드 해석하면 그런 기능이 있음)
그런 것을 통해서 안티 바이러스 동작 중지가 가능할 듯
기업용 v3의 동작이 멈출 때, 윈도우 System 로그에서 EID 7036이 찍힌다.
해당 로그에는 v3 중지 라는 로그가 찍히는데 정확한 원인을 아직 모르겠다.
