|
Process Explorer를 통한 악성툴의 진단기법
 S/W 강좌 2006/12/20 11:56 |
|
1 . Process Explorer - 소개 Process Explorer는 1996년 Mark Russinovich 와 Bryce Cogswell이란 분들에 의하여 만들어진 Sysinternals 이란 웹페이지를 통해 소개된 수많은 시스템 관리 도구들중 하나입니다 . 위 사이트는 2006년 7월 마이크로소프트로 합병되었으나 지금도 여전히 훌륭한 시스템 도구들을 제공하며 또 제공된 관리도구들에 대한 묻고 답하기 포럼도 개설하고 있습니다 . 2 . Process Explorer - 기본 이 채프터에서는 Process Explorer의 기본적인 사용법을 배워보기로 합니다 . 우선 아래 링크를 방문합니다 . http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx 방문하셨으면 맨아래 보이는
다운로드 받아 압축을 풀게되면 (폴더 하나를 만든 후 압축 풀기를 권장합니다 .)
세개의 파일이 생성되는데
최종사용자동의서 , 설명서 파일과 함께
프로그램 실행 파일이 들어있는데 바탕화면에 바로가기 생성해 사용하시면
편리하리라 여겨집니다 .(설치 필요 없이 파일만 클릭하면 프로그램 실행됩니다 .)
아래는 실행된 Process Explorer의 메인창입니다 .
(이 스크린샷은 안철수 연구소에서 담아 왔습니다 .)
위 그림에서 상부의 판넬은 Process를 표시하는 것이고 하부의 판넬은 Handles & Dlls를 표시하는 것입니다 .
집필자 註 : 상부 판넬은 상위 프로세스(작업 관리자에서 볼 수 있는 내용) 하부 판넬은 하위 프로세스 개념으로 이해해 버리면 편합니다 .
실행하게 되면 우선은
하부 판넬은 끄고 전체 프로세스부터 눈에 익히시기 바랍니다 .
아래 그림 보시기 바랍니다
이제 시스템에서 실행되는 프로세스들이 한눈에 보일 것입니다 .
평소에 가끔 눈에 익혀두면 내 컴퓨터에서 무언가 이상한 것이 실행되었을 때
금방 눈에 띌 것입니다 .
이제 창에서 표시할 내용을 정해주어야 합니다 .
아래 그림처럼 도구모음 줄에서 마우스 오른쪽 버튼을 눌러
Select Columns를 택합니다 .
뜨는 창에서 아래 그림처럼 체크하고 확인 누르시면 기본적인 사용에는 충분합니다 .
표시한 각각에 대해서는 Process Explorer 메인창을 보시면
직관적으로 이해가 가능합니다 .
Process Explorer의 큰 특징중 하나는
속성을 알기를 원하는 프로세스명을 단지 더블 클릭함으로서
그 프로세스의 속성을 볼 수 있는데
이 속성에서 해당 프로세스의 인터넷 연결 상황(TCP/IP)과
우리가 평소에는 시작▶설정▶제어판▶관리도구▶서비스로 들어가서
서비스명으로 먼저 보고 파일 명을 파악할 수 있던 것을
프로세스를 클릭함으로서 파악이 가능하도록 했단점입니다 .
아래는 제 시스템의 svchost를 더블 클릭해서 본 창입니다 .
3 . Process Explorer - 응용 가끔 사용자를 괴롭히는 프로그램이
화면에 뜨는데 그 정체를 알 수가 없어서 귀찮을 때가 있을 것입니다 .
그런 경우에 Process Explorer가 유용할 수도 있습니다 .
아래 내용을 보시기 바랍니다 .
사례 1 > 사용자 처한 상황
인터넷에서 검색을하다보면.. 이런 작은 검색창이 뜨는데.. 제거하고싶어요ㅜㅜ 방법좀 갈켜줘요~ 프로그램 제거로 찾아봐도 딱히 이런게 없고.. 젠장젠장.. 내공드려용
위의 경우 Process Explorer로 급한대로 대처 가능합니다 .
우선 해당 창을 띄우는 프로세스를 알아야 합니다 . Process Explorer 메인창에서 아래 그림에서 보이는 것과 같은 빨간 네모로 표시된 것을 마우스로 꼭 집어서(집으면 Process Explorer는 투명화 되어 다른 화면들을 볼 수 있게 해줍니다 .) 님 트레이 위에서 뜨는 팝업 창에 떨어뜨리시기 바랍니다 . 그러면 그 팝업을 실행하는 프로세스가 Process Explorer 메인창에서 파란색줄로 마킹되어 표시가 될 것입니다 . 그렇게해서 프로세스 알아내시기 바랍니다 . 단 , 이게 iexplorer에 덧붙여진 라이브러리로 또는 그냥 플래쉬로 실행시는 조금 밝히기 애매할 수도 있습니다 . 일단 시도해 보시기 바랍니다 . 프로세스 알아내셨으면 안전모드로 부팅해 해당 프로세스명으로 검색해 삭제하세요 . (프로그램 추가/제거를 이용할만큼 정보를 얻어내면 더 좋습니다 . 그런데 요즘 사용자를 괴롭히는 일부 프로그램은 프로그램 추가/제거에서 제거 시도시 하드 전체를 날리려고 하는 경우도 있다고 하니 여기 소개하는 방법이 유효 적절할 수도 있습니다 .) 안전모드로 부팅하기 : 부팅시 F8(윈도우98은 F5)를 연타해 뜨는 화면에서 안전모드(Safe Mode)를 방향키로 택한 후 엔터 . 안전모드(네트워크 사용 가능)은 택하시지 말기 바랍니다 . 안전모드 부팅후에는 화면 네 귀퉁이에 안전모드라고 쓰여 있음 . 참고로 파일 검색은 아래 그림과 같은 방법으로 하시기 바랍니다 . (파일 검색없이 Process Explorer 에서 프로세스를 더블 클릭해도 경로를 볼 수 있습니다 . ) 시작▶검색▶파일 또는 폴더를 클릭 모든 파일 및 폴더 찾기 클릭하신 후 검색창 왼쪽에 보이는 고급옵션 클릭해 아래 그림처럼 체크하시기 바랍니다 . (안전모드로 부팅해 검색하는 것이 삭제가 필요시 수월하시리라 봅니다 .) 파일을 삭제하셨으면 이제 레지스트리 정보를 지우세요 . 시작-->실행-->msconfig라고 친 후 엔터해서 뜨는 창에서 창 맨오른쪽 위로 보이는 시작프로그램 탭으로 이동해 삭제한 파일 이름(프로세스명) 보이는 것 앞의 네모의 체크를 제거후 (옆으로 보면 경로(위치)도 있으니 이도 확인해 주시고요 .) 창 오른쪽 하단의 적용 , 확인 누르고 재부팅 . 리부트후 아래 같은 창이 뜨면 다시는 표시 안함에 체크하고 확인 .
이러한 방법은
팝업창으로 뜨는데 메신저 서비스 중단으로
해결되지 않는 여러 경우 , 그리고 화면에 증상을 내보이는 경우들에 유용할겁니다 .
사례2 >
일부 악성툴은 .dll 수준에서 (모든) 프로세스에 주입됩니다 .
그런 이유로 발견시 삭제가 쉽지 않을 것입니다 .
일단 안전모드에서 백신으로 진단해 삭제해보시기 바랍니다 .
안전모드로 부팅하기 : 부팅시 F8(윈도우98은 F5)를 연타해 뜨는 화면에서 안전모드(Safe Mode)를 방향키로 택한 후 엔터 . 안전모드(네트워크 사용 가능)은 택하시지 말기 바랍니다 . 안전모드 부팅후에는 화면 네 귀퉁이에 안전모드라고 쓰여 있음 .
안전 모드로 부팅해 아래 링크 참조해 바이러스 검사하시기 바랍니다 .
안전모드로 부팅전에 아래 링크의 백신을 다운받아놓고 사용법도 숙지하시기 바랍니다 .
안전모드에서 인터넷 연결 끊은 상태에서 검사하시기 바랍니다 .
현재 사용 가능한 백신 없으시면 아래 링크 참조해 다운로드 받으시기 바랍니다 . (사용중인 백신이 있으셔도 두세개의 백신으로 검사 실행하는 것이 신뢰도가 더 높아지므로 활용하시는게 좋습니다 .)
안전모드에서도 삭제 불가시는
Process Explorer를 이용해 볼 가치가 있습니다 .
아래 그림처럼 망원경 아이콘을 눌러서 찾기 실행한 후 위에 백신 검사에서 걸린 DLL 파일의 명칭을 써넣게 되면(예 : dfll.dll 형식으로) 그 DLL이 걸린 프로세스들이 나옵니다 . (안나오면 해당 DLL이 주입된 프로세스는 안전모드에서 실행중이 아니며 삭제가 불가한 이유는 프로세스에 물려 그런 것은 아닙니다 .)
검색에 걸린 프로세스가 있다면 해당 프로세스 종료후 해당 DLL 파일을 삭제해 보시기 바랍니다 .
|
를 클릭합니다 .
'정보보호 > Windows' 카테고리의 다른 글
| ms08-67관련 (0) | 2008.10.26 |
|---|---|
| [Tool]Autoruns (0) | 2007.07.31 |