Minecraft ScreenShare Guide
핵검사 (ScreenShare) 가이드
들어가기에 앞서
필자는 Echo와 Ocean과 같은 핵검사 툴 사용을 매우 지지합니다. 이 핵검사 가이드는 Echo와 Ocean에 걸리지 않는, 대중화 되어있지 않은 핵, 오토, 마우스 매크로 등등을 잡아내기 위함으로, 왠만해선 핵검사를 직접 진행하기에 앞서 Echo 또는 Ocean과 같은 핵검사 툴을 사용하는것을 추천 드립니다.
핵의 90%는 Echo와 Ocean에서 걸러진다고 해도 과언이 아닙니다.
개요
전반적인 이해
핵검사를 진행하려면 윈도우에서 저장하는 파일들에 대해서 이해해야 합니다.
| 타입 | 이름 | 설명 |
|---|---|---|
| A | Prefetch / Recent | 윈도우의 폴더에 저장된 파일/기록들 |
| B | USN Journal | NTFS로 구성된 저장장치에서의 기록 |
| C | Process/System Memory (RAM) | RAM에 저장되는 기록들 |
| D | Registry | Regedit / Registry에 저장되는 기록들 |
| E | Extra | 나머지 부분들 |
파일의 기록들을 얻게 되었다면 특정 파일들의 Signature를 확인하여 Signed 파일과 Unsigned 파일로 구분할 수 있습니다. Everything에서 시그니처를 확인하는 메소드를 제공합니다.
A1
Prefetch
가장 일반적으로 확인 가능한 윈도우의 기록 파일. .exe 실행기록을 저장하는 폴더. 핵검사에서 매우 중요한 부분.
위치: C:\Windows\Prefetch — Win + R 버튼을 눌러 prefetch 파일을 열 수 있습니다. 수정한 날짜를 눌러 시간 순서대로 .exe 파일을 실행한 기록을 볼 수 있습니다. 더 자세히 확인하기 위해 WinPrefetchView를 사용합니다.
주요 확인 항목
| 프로세스명 | 의미 / 확인 이유 |
|---|---|
| CONSENT.EXE | 관리자 권한으로 실행시킨 .exe 파일 목록 확인 가능 |
| CONHOST.EXE | 관리자 권한 실행 시 함께 로그 남음 |
| Regsvr / RunDLL | .exe 또는 .dll 파일을 인젝/실행시킨 경우 확인 가능 |
Regsvr / RunDLL pf 파일을 읽기 전용으로 설정하여 파일은 그대로 있지만 기록이 되지 않게 설정할 수도 있습니다. 이를 확인할 필요가 있습니다.
A2
Recent
.jar 핵파일 / .bat 핵파일 확인에 효과적. 마지막으로 들어갔던 폴더, .zip 파일 등 유용한 정보가 많음.
경로
Win + R → recent 입력직접 접근:
C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent
B1
USN Journal
윈도우 NTFS 저장장치에서의 기록. 파일을 지우거나, 새로 만들거나, 이름을 변경하거나 값을 변경할 경우 기록이 남음.
USN Journal은 핵검사에서 매우 중요한 용도로 사용되며 필수로 확인해야 하는 부분입니다. 가장 대중적으로 사용하는 방식은 Echo Journal을 사용합니다.
Echo의 Easy Journal Viewer를 사용하여 핵검사 직전 삭제를 시도하거나 파일명을 변경, 파일 값을 변경한 모든 로그를 확인할 수 있습니다. 우측 상단의 검색바를 이용하여 .exe / .jar / .dll 등 파일 확장자로 필터링하여 확인합니다.
C1
Services
핵검사를 진행할 때 켜져 있어야 하는 윈도우의 서비스 목록.
| 서비스명 | 역할 |
|---|---|
| Pcasvc | Program Compatibility Assistant Service |
| SysMain | SuperFetch — 메모리 관리 |
| EventLog | Windows 이벤트 로그 |
| DcomLaunch | DCOM Server Process Launcher |
| Activities Cache | Windows 활동 캐시 |
| Dnscache | DNS Client |
핵검사를 진행하는 컴퓨터에 System Informer 또는 Process Hacker 2가 설치되어 있고 이를 실행한 기록이 있다면, 특정 윈도우의 서비스를 종료했거나, 다른 파일을 인젝트 했을 가능성이 큽니다.
C2
System Informer (Process Hacker 2)
가장 대중적으로 시스템 메모리를 덤프(dump)하기 위한 프로그램.
사용 전 반드시 설정해야 하는 부분
1. 관리자 권한으로 실행
2. Help → Check for Updates → Canary Preview 버전 다운로드 및 적용
3. System → Options → Enable kernel-mode driver 체크 및 close
*적용하지 않으면 일부 프로세스 접근 불가능
1. 관리자 권한으로 실행
2. Help → Check for Updates → Canary Preview 버전 다운로드 및 적용
3. System → Options → Enable kernel-mode driver 체크 및 close
*적용하지 않으면 일부 프로세스 접근 불가능
확인해야 하는 주요 프로세스 & String
| 프로세스 | 주요 확인 String / Regex |
|---|---|
| csrss.exe | ^[A-Za-z]:\.+.(exe|dll)$^[A-Za-z]:\.+.[A-Za-z0-9]+$ |
| explorer.exe | ^[A-Za-z]:\.+.(exe|dll)$^file:///((?!txt|.xbf|.xaml).)*$ |
| %browser%.exe | downloads / .exe / .dll / .jar / :\ |
| ctfmon.exe | ^[A-Z]:.+.\((?!exe).)*$^[A-Z]:.+.\((?!dll).)*$ |
| DcomLaunch | .jar 포함 문자열 |
D1
BAM (Background Application Manager)
응용프로그램의 백그라운드 작업을 기록하고 저장하는 윈도우의 레지스트리 값.
Echo의 BAM log 뷰어는 파일의 실행 날짜와 파일이 지워지지 않고 남아있는지 등의 내용을 제공합니다.
레지스트리 편집기를 핵검 전 실행했거나 수정한 기록이 있다면 밴 사유로 충분합니다. BAM의 로그가 보이지 않는다면 레지스트리 설정을 통해 값이 저장이 안되게 설정해 놓았을 가능성도 있습니다.
Red Lotus BAM
powershell Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass && powershell Invoke-Expression (Invoke-RestMethod https://raw.githubusercontent.com/PureIntent/ScreenShare/main/RedLotusBam.ps1)
D2
UserAssist
BAM과 마찬가지로 레지스트리 값. Echo의 UserAssist 툴 사용.
BAM logs와 마찬가지로 실행 날짜와 파일이 아직 존재하는지 삭제되었는지 확인 가능합니다. Echo의 툴을 사용합니다.
D3
MUICache
.exe / .dll 등의 파일값을 저장하는 레지스트리 값. 한번이라도 실행했다면 그 값을 저장.
MUICacheView를 사용하여 좀 더 빠르고 쉽게 저장된 기록들을 확인할 수 있습니다. 모든 어플리케이션의 실행기록을 한번이라도 실행했다면 저장합니다.
수정이 가능하기에 확인이 필요합니다.
D4
RegistryExplorer
삭제된 레지스트리 값을 확인할 수 있는 도구.
- 1RegistryExplorer 관리자 권한으로 실행
- 2File → Live system → SOFTWARE or SYSTEM or Userdat or etc (삭제가 의심되는 레지스트리 값이 있는 파일 로드)
- 3삭제된 레지스트리 값 확인
E1
Everything + RedLotus Signatures
매우 빠른 윈도우 파일 검색. 현재 컴퓨터에 존재하는 모든 .exe 파일을 분석.
- 1Everything 관리자 권한으로 실행
- 2
ext:exe검색 (ext:dll도 가능) - 3맨 위의 파일 좌클릭 후, 스크롤 끝까지 내리기
- 4Ctrl + Shift + C → 맨 밑 파일 좌클릭 → 우클릭 → 전체 경로를 클립보드로 복사
- 5복사한 내용을
paths.txt에 저장 - 6관리자 권한으로 cmd → paths.txt가 저장된 폴더로 이동 → 명령어 입력
- 7파일 확인 — NotSigned 집중 확인
powershell Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass && powershell Invoke-Expression (Invoke-RestMethod https://raw.githubusercontent.com/bacanoicua/Screenshare/main/RedLotusSignatures.ps1)
| 결과값 | 의미 |
|---|---|
| Valid | 정상 서명된 파일 |
| UnknownError | 확인 불가 (참고) |
| NotSigned | 인증이 되어있지 않은 파일 — 집중 확인 필요 |
E2
LastActivityView
Registry 정보와 Prefetch 폴더의 정보를 시간순으로 나열하여 분석하기 쉽게 제공하는 프로그램.
대중적으로 가장 유명한 프로그램. 핵검사를 진행할때에 중요한 정보들을 많이 보여줍니다.
E3
마우스 매크로
한국서버에서 가장 문제가 되는 부분. 일반적으로 많이 사용하는 마우스들의 매크로를 확인하는 방법.
최신화가 되어있지 않을 수 있기에 USN Journal의 Data Changed 또한 확인 바랍니다.
Glorious (글로리어스)
C:\users\%username%\appdata\BYCOMBO-2
C:\ProgramData\Glorious Core\userdata\%username%\data
( specific / DeviceDB.db )
C:\ProgramData\Glorious Core\userdata\%username%\data
( specific / DeviceDB.db )
Logitech (로지텍)
C:\Users\%username%\AppData\Local\LGHUB
( specific / settings.db ) 최신
C:\users\%username%\appdata\local\logitech\Logitech Gaming Software
( specific / settings.json ) 예전
System Informer → lghub_agent.exe
Strings:
( specific / settings.db ) 최신
C:\users\%username%\appdata\local\logitech\Logitech Gaming Software
( specific / settings.json ) 예전
System Informer → lghub_agent.exe
Strings:
IsDown / DurationmsCorsair (커세어)
C:\users\%username%\appdata\corsair\CUE
( specific / Config.cuefg )
Config.cuefg 열기 → Ctrl + F
→
( specific / Config.cuefg )
Config.cuefg 열기 → Ctrl + F
→
RecMouseCLicksEnableRazer (레이저)
C:\Users\%username%\AppData\Local\Razer\Synapse\log\macros
→ Razer Macros3.txt 분석
C:\ProgramData\Razer\Synapse3\Log
→ SynapseService.log →
→ Razer Macros3.txt 분석
C:\ProgramData\Razer\Synapse3\Log
→ SynapseService.log →
turbo: trueRoccat (로켓)
C:\Users\%username%\AppData\Roaming\ROCCAT\SWARM\macro
C:\Users\%username%\AppData\Roaming\ROCCAT\SWARM\preset_macro
수정 시각 확인 (macro_list.dat / custom_macro_list.dat)
C:\Users\%username%\AppData\Roaming\ROCCAT\SWARM\preset_macro
수정 시각 확인 (macro_list.dat / custom_macro_list.dat)
E4
기타 경로 & 레지스트리
추가로 확인해야 할 경로들과 레지스트리 키 목록.
주요 파일 경로
| 용도 | 경로 |
|---|---|
| 루나클라이언트 채팅 로그 | C:\Users\%username%\.lunarclient\logs\game |
| 포지/페더 채팅 로그 | C:\Users\%username%\AppData\Roaming\.minecraft\logs |
| PowerShell 명령어 기록 | C:\Users\%username%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine |
주요 레지스트리 키
- ›HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- ›HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings
- ›HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppSwitched
- ›HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- ›HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- ›HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRUfor .dll
- ›HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\ShowJumpView
- ›HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet설치된 브라우저 확인
# USB ID 확인 wmic path Win32_USBHub get DeviceID
E5
Doomsday Client
2023년 12월부터 논란이 많은 핵 클라이언트. .jar 실행파일로 기존 탐지 방식을 우회. Echo에도 잡히지 않음 (2024.8.13 기준).
Doomsday는 1.8부터 1.21까지 폭넓은 버전을 지원하고(무료), Echo에도 잡히지 않기 때문에 이슈가 큰 상황입니다.
| 탐지 방법 | 내용 |
|---|---|
| Recent 폴더 | 기본 윈도우 서비스가 정상 작동 중이라면 .jar.lnk 형식으로 흔적이 남음 |
| Prefetch | 실행기록이 javaw.exe로 남음. WinPrefetchView로 javaw.exe 확인 → 랜덤파일.JAR로 기록됨 |
| System Informer | 브라우저 String: doomsdayclient.com / doomsday / ghost client / .jar |
| Ocean | 마인크래프트가 실행 중이고 인젝을 한 기록이 있어야 함. 파일 위치는 나타나지 않음 |
| USN Journal | 삭제된 .jar 확장명 파일 검색. 핵검사 직전 지운 기록은 밴 사유 |
E6
FAT32 Drive
FAT32는 USN Journal을 남기지 않음. 파일 조작 기록 전무. 핵검사를 매우 힘들게 만드는 요소.
FAT32를 사용하고 있는 유저가 있다면 초범이라면 구두경고, 여러번 검사 당한 유저라면 밴 처리를 해야 한다 생각합니다.
FTK Imager 사용법
- 1FTK Imager 설치 및 실행
- 2File → Add All Attached Devices
- 3FAT32 Drive → root 탐색
- 4파일을 삭제한 기록 확인
E7
VirusTotal
파일을 업로드하여 분석하는 사이트. 파일명 또는 확장자명을 바꾸었을 경우에도 이전 이름 확인 가능.
| 탭 | 확인 내용 |
|---|---|
| Details | 파일의 기본적인 정보들 확인 |
| Names | 이전에 업로드 되었었던 파일들의 이름 확인 가능 |
| Relations | 연관 파일 및 네트워크 정보 |
↓
다운로드 링크
가이드에서 사용된 모든 도구 링크.
핵검사 툴 (우선 사용 권장)
Echo 개별 툴
필수 도구
Everythingvoidtools.com
System Informersysteminformer.sourceforge.io
RegistryExplorersans.org/tools/registry-explorer
Registry Finderregistry-finder.com
LastActivityViewnirsoft.net
WinPrefetchViewnirsoft.net
MUICacheViewnirsoft.net
DiskDiggerdiskdigger.org — 삭제된 파일 확인 및 복구
WinLiveInfoBAM / RunMru / USB / Recent 등 확인
FTK ImagerFAT32 시스템 디스크 파일 확인
OSForensicsosforensics.com — 다중 포렌식 기능
// 마치며
핵검사를 진행하는데에
조금이나마 도움이 되었길 바랍니다.
조금이나마 도움이 되었길 바랍니다.
이는 회피가 아니라 방향 전환입니다. 소모적인 대응에서 벗어나, 구조를 이해하는 데에 초점을 두고자 합니다.
여기서 다루어지는 지식과 개념들은 해외에서는 이미 기초적인 영역에 해당합니다. 본 가이드는 개인적인 대응을 위한 자료가 아니라, 전체적인 이해도 향상과 상향 평준화를 목적으로 공개됩니다.
여기서 다루어지는 지식과 개념들은 해외에서는 이미 기초적인 영역에 해당합니다. 본 가이드는 개인적인 대응을 위한 자료가 아니라, 전체적인 이해도 향상과 상향 평준화를 목적으로 공개됩니다.
2024년 8월 12일 작성 · 2026년 2월 22일 전체공개
핵검사 가이드 by ukay · Discord: ukay___ · bio.site/ukay
핵검사 가이드 by ukay · Discord: ukay___ · bio.site/ukay