정보보안/Tool 사용법

Tool 사용법 - Process Explorer

ITtechRoy 2014. 9. 10. 00:31
728x90
반응형

Process Explorer

 

Process Explorer 는 각종 Process의 확인 및 제어 용도로 사용할 수 있는 기본적인 Tool이며 작업 관리자의 기본 기능과 좀더 자세한 정보를 편리한 UI를 통해 사용자에게 제공한다. Process Explorer Sysinternals에서 제작 배포하는 도구이다. Sysinternals에서는 Process Explorer 이외에도 AutoRuns, Regmon, Filemon 같은 도구를 사용자에게 무료로 제공한다. 현재는 MS Sysinternals를 인수한 상태이다.

그림 1‑1 Process Explorer를 실행한 화면이다. 실행중인 프로세스의 이름, CPU 점유율, 설명, 회사이름이 기본적으로 표시된다.

그림 11 Process Explorer 실행

 

그림 1‑2 [ Options è Configure Highlighting ] 메뉴를 선택한 화면이다. 색상 설정을 이용해 사용자가 더 편리하게 사용할 수 있는 기능을 제공한다. 색상마다 각각의 내용을 확인할 수 있으며 이 부분은 개인설정이 가능한 부분이다. 기본설정으로는 흰색(무색) 은 시스템 영역의 프로세스를 뜻하며, 초록색은 프로세스 실행, 빨간색은 프로세스 종료, 분홍색은 서비스 프로세스, 파란색은 사용자 프로세스, 보라색은 패킹된 이미지 파일을 표시해 준다.

 

그림 12 색상 설정

 

 

Process Explorer에서는 각각의 프로세스에 인젝션된 DLL/Handles 정보를 볼 수 있다.

[ View è Lovwerpane View è DLLs / Handles ] 를 이용해 사용 가능하다. 보통의 악성코드들이 Description 부분에 대한 값을 입력하지 않기 때문에 Description Company Name 이 누락되어 있는 파일들은 우선적으로 악성파일 의심대상으로 간주할 수 있다. Injection 은 파일의 이동과 복사가 가능하며 Process Explorer 상에서 파일을 직접적으로 제어가 불가능하지만 Handle은 파일의 이동과 복사가 불가능하며 Process Explorer상에서 파일을 직접적으로 제어가 가능하다.

 

 

그림 13 DLL / Handles

 

 

 [ View è Systeminformation ] 메뉴를 통해 CPU 점유율과 메모리 사용량 등을 그래프로 보여주는 기능도 있다. CPU Usage Hisotry, Commit, I/O Bytes, Physical 정보를 그래프로 확인할 수 있으며, Commit Charge, Physical Memory, Kernal Memory, Paging, CPU and I/O 정보를 수치로 알아볼 수 있는 기능도 제공한다.

 

그림 14 System Information

 

 

Kill Process Tree 를 이용해 프로세스의 구조가 Tree 형태로 이루어져 있을 경우 한번에 종료시킬 수 있는 기능을 제공한다. 이 기능은 정상파일의 경우 효율성이 떨어지나 악성코드의 경우 Tree 구조로 이루어져 있을 경우 악성코드 프로세스를 한번에 종료시키지 못하면 종료되지 않고 살아있는 악성코드가 종료된 프로세스를 재실행시켜 다시 살려주는 경우가 있기 때문에 효율적으로 사용할 수 있는 기능 중 하나이다.

 

그림 15 Kill Process Tree

 

 

[ View è Select Columns ] 메뉴를 이용해 기본설정되어 보여지는 기능 이외의 정보를 볼 수 있는 선택항목이 선택할 수 있다. 주로 사용하는 기능은 Image Path Command Line 인데, Image Path는 실행 중인 프로세스의 전체 경로를 표시하며, Command Line은 실행 중인 프로세스의 명령줄의 옵션을 표시한다.

 

그림 16 select Columns

 

728x90
반응형

'정보보안 > Tool 사용법' 카테고리의 다른 글

Tool 사용법 - IEHistoryView  (0) 2014.09.10
Tool 사용법 - IECookiesView  (0) 2014.09.10
Tool 사용법 - IECacheView  (0) 2014.09.10
Tool 사용법 - chviewer  (0) 2014.09.10
Tool 사용법 - Everything  (0) 2014.09.10