여기에 나온 악성코드 대응 툴 설명은 본인이 다니고 있는 회사에 과제 제출하기 위해 작성한 것입니다. Process Explorer, Autoruns 파일 첨부합니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.
1. Process Explorer v12.0
제작사: http://www.sysinternals.com
프로그램 장점
- 윈도우에서 실행 중인 모든 프로세스 정보 표시한다.
- 작업관리자에서 표시되지 않는 Unnamed Process 정보 표시한다.
- 프로세스의 핸들 및 DLL 확인 가능과 Force Kill 기능이 있다.
- 자세하게 프로세스 경로 및 특징을 분석한다.
- 모든 프로세스를 관리할 수 있고 프로세스 종료 및 재시작을 시킬 수 있다.
- 간단하고 실용적인 인터페이스를 가지고 있다.
- 기존 윈도우 작업관리자보다 상세한 기능을 가지고 있다.
프로그램 단점
- 한국어 미지원.
- 일반 사용자들에게 불필요한 기능들이 있다.
• 프로세스 트리 보기
하나의 프로세스가 다른 프로세스를 호출한 경우 이러한 종속 관계를 알 수 있는 프로세스 트리를 제공한다. 이 프로세스 트리를 이용하면 각 프로세스의 종속 관계와 계층적 구조를 확인할 수 있다.
• DLL 및 핸들 보기
하나의 프로세스는 상당히 많은 DLL을 읽고 핸들을 처리한다. 어떤 프로세스가 어떤 DLL을 호출하고 어떤 핸들을 처리하는지 알고 싶은 경우가 종종 발생한다. Process Explorer는 이러한 DLL과 핸들을 바로 확인할 수 있으며, 검색 기능을 통해 이러한 DLL과 핸들을 찾을 수 있으며 close 할 수도 있다.
• 이름없는 프로세스 보기
작업 관리자에서 kill하면 안되는 프로세스들은 작업 관리자의 목록에는 나타나지 않는다. 이러한 프로세스는 대부분 이름없는 프로세스로 나타난다. 따라서 작업 관리자에서는 이런 프로세스를 볼 수도 없고 kill 할 수도 없지만 Process Explorer를 사용하면 이런 프로세스도 kill 할 수 있다.
• 다양한 성능 그래프
Process Explorer는 작업 관리자에 비해 훨씬 다양한 성능 그래프를 제공한다. 전체 성능 그래프도 지원하지만 프로세스 각각의 성능 그래프도 제공한다.
• 다양한 프로세스 정보
Process Explorer는 작업 관리자와는 달리 아주 다양한 프로세스 정보를 제공한다, 실행 파일의 경로, 실행될 때의 명령행 변수, 실행 시간, CPU, 메모리, IO 사용률, 실행 중인 쓰레드, 프로세스에 포함된 인쇄 가능한 문자열, 설정된 환경 변수, 프로세스의 권한, 네트웍 사용률과 사용 포트 등 자세한 정보를 제공한다.
• 프로세스 또는 트리 끝내기
악성코드 또는 불필요한 프로세스를 kill 할 수 있다. 하나의 프로세스가 여러 개의 프로세스를 호출했다면 부모 프로세스를 kill 함으로써 자식 프로세스를 kill 할 수 있는 기능을 제공한다.
• 프로세스 일시 중단하기
어떤 프로세스가 문제가 되는지 알아보기 위해 일반적으로 문제가 될말한 프로세스를 kill 하는 방법을 사용한다. 그러나 Process Explorer를 사용하면 프로세스를 kill 하고 다시 실행하는 것이 아니라 일시적으로 중지시킬 수 있다.
• 핸들 찾기 및 핸들 종료하기
불필요한 핸들이나 오류가 발생한 핸들을 강제로 종료할 수 있다. 이는 윈도우가 사용하는 정상 프로세스에 인젝션되어 있는 DLL 및 SYS 드라이버를 찾아 종료할 수 있는 유용한 기능을 제공한다.
2. Autoruns v9.57
제작사: http://www.sysinternals.com
시작 메뉴의 시작프로그램 폴더에 들어있는 실행아이콘, 레지스트리 키로 기록되어 있는 것들 등, 부팅될 때 실행되는 모든 프로그램들을 나열한다. 일반적인 시작프로그램 관리 툴들이 보여주는 리스트들 이상의 것들을 보여준다.
즉 Windows 시스템이 정상적으로 시작되기 위해 필요한 필수 프로그램들까지 모조리 보여준다. 어떤 항목은 삭제할 수도 있지만 조심해야 하는 것들 투성이다.
• 알려진 모든 윈도우 시작 프로그램 목록 표시
• Verify Code Signatures 기능 (전자 서명된 파일의 인증서를 검증)
• Hide Signed Microsoft Entries 기능
탭 |
설명 |
Everything |
다른 탭에서 확인할 수 있는 모든 자동 실행 항목이 실행된다. |
Logon |
쉘이 실행하는 프로그램이 등록되어 있다. 일반적으로 HKLM, HKCU의 Run 레지스트리와 시작 프로그램(모든 사용자, 로그인한 사용자)에 등록되어 있는 항목이 표시된다. |
Explorer |
쉘 확장, BHO, 탐색기 도구 막대,, 쉘 가로채기 등이 표시된다. |
Internet Explorer |
인터넷 탐색기의 BHO와 도구 막대, 각종 확장이 표시된다. 윈도우를 처음 설치한 경우에는 아무것도 등록되지 않는다. |
Scheduled Tasks |
작업 예약 목록이 나타난다. 윈도우를 처음 설치한 경우 어떠한 작업도 등록되지 않는다. |
Services |
시스템 부팅시 자동적으로 시작하는 모든 서비스가 나타난다. |
Drivers |
사용 안함으로 설정되지 않은 모든 커널 모드 드라이버가 표시된다. |
Boot Execute |
부트 프로세스가 진행되는 초기에 실행되는 프로그램이 표시된다. |
AppInit |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs에 등록되어 있는 DLL을 표시한다. AppInit_DLLs에 등록되어 있는 DLL은 현재 로그온 세션에서 실행중인 모든 윈도우 기반 응용 프로그램에 의해 읽혀진다. |
Known DLLs |
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs애 등록되어 있는 DLL을 출력한다. KnowDLLs 레지스트리 키의 DLL들은 시스템이 시작될 때 메모리로 읽혀진다. |
Winlogon |
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify에 등록되어 있는 DLL을 표시한다. Notify에 등록된 DLL은 Winlogon이 시작될 때 Winlogon이 레지스트리를 검사해서 메모리로 읽혀지게 된다. |
Winsock Providers |
Winsock 서비스 제공자를 포함한 등록된 Winsock 프로토콜을 표시한다. 악성 프로그램은 종종 자신을 Winsock 서비스 제공자로 등록하는 경우가 많다. 그 이유는 Winsock 서비스 제공자로 등록하는 경우 제거할 수 있는 방법이 많지 않기 때문이다. Autoruns은 이들을 제거할 수 있지만 사용 안 함으로 설정할 수는 없다. |
Printer Monitor |
프린터 spool 서비스로 읽혀진 DLL을 표시한다. 악성 프로그램은 실행 코드 감염을 위해 이 기능을 사용하기도 한다. |
'세미나 및 발표회 > 윈도우 프론티어 2기' 카테고리의 다른 글
[악성코드 대응 툴] Cports, Active Ports, ADS Spy 소개 (0) | 2010.03.29 |
---|---|
[악성코드 대응 툴] GMER, IceSword 소개 (0) | 2010.03.27 |
악성코드 대응 시, 필요한 도스 명령어와 활용 방법 (0) | 2010.03.18 |
마이크로소프트 클라우드 컨퍼런스 후기 & 1등 경품 당첨 (0) | 2010.03.07 |
[내일은 만렙 SQLER] SQL Server 2008 강좌 10편 모음 (0) | 2010.02.26 |