[TOOL]process explorer

Process Explorer를 통한 악성툴의 진단기법 S/W 강좌 2006/12/20 11:56 http://blog.naver.com/durkins/90012168186

1 . Process Explorer - 소개 Process Explorer는   1996년 Mark Russinovich 와 Bryce Cogswell이란 분들에 의하여 만들어진     Sysinternals 이란 웹페이지를 통해 소개된 수많은   시스템 관리 도구들중 하나입니다 .   위 사이트는 2006년 7월 마이크로소프트로 합병되었으나   지금도 여전히 훌륭한 시스템 도구들을 제공하며   또 제공된 관리도구들에 대한   묻고 답하기 포럼도 개설하고 있습니다 .   2 . Process Explorer - 기본 이 채프터에서는 Process Explorer의 기본적인 사용법을 배워보기로 합니다 .   우선 아래 링크를 방문합니다 .   http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx   방문하셨으면 맨아래 보이는   를 클릭합니다 .   다운로드 받아 압축을 풀게되면 (폴더 하나를 만든 후 압축 풀기를 권장합니다 .)   세개의 파일이 생성되는데   최종사용자동의서 , 설명서 파일과 함께   프로그램 실행 파일이 들어있는데 바탕화면에 바로가기 생성해 사용하시면   편리하리라 여겨집니다 .(설치 필요 없이 파일만 클릭하면 프로그램 실행됩니다 .)       아래는 실행된 Process Explorer의 메인창입니다 .   (이 스크린샷은 안철수 연구소에서 담아 왔습니다 .)   위 그림에서 상부의 판넬은 Process를 표시하는 것이고 하부의 판넬은 Handles & Dlls를 표시하는 것입니다 .   집필자 註 : 상부 판넬은 상위 프로세스(작업 관리자에서 볼 수 있는 내용)                  하부 판넬은 하위 프로세스 개념으로 이해해 버리면 편합니다 .   실행하게 되면 우선은   하부 판넬은 끄고 전체 프로세스부터 눈에 익히시기 바랍니다 .   아래 그림 보시기 바랍니다 .       이제 시스템에서 실행되는 프로세스들이 한눈에 보일 것입니다 .   평소에 가끔 눈에 익혀두면 내 컴퓨터에서 무언가 이상한 것이 실행되었을 때   금방 눈에 띌 것입니다 .   이제 창에서 표시할 내용을 정해주어야 합니다 .   아래 그림처럼 도구모음 줄에서 마우스 오른쪽 버튼을 눌러   Select Columns를 택합니다 .       뜨는 창에서 아래 그림처럼 체크하고 확인 누르시면 기본적인 사용에는 충분합니다 .     표시한 각각에 대해서는 Process Explorer 메인창을 보시면   직관적으로 이해가 가능합니다 .   Process Explorer의 큰 특징중 하나는   속성을 알기를 원하는 프로세스명을 단지 더블 클릭함으로서   그 프로세스의 속성을 볼 수 있는데   이 속성에서 해당 프로세스의 인터넷 연결 상황(TCP/IP)과   우리가 평소에는 시작▶설정▶제어판▶관리도구▶서비스로 들어가서   서비스명으로 먼저 보고 파일 명을 파악할 수 있던 것을   프로세스를 클릭함으로서 파악이 가능하도록 했단점입니다 .   아래는 제 시스템의 svchost를 더블 클릭해서 본 창입니다 .               3 . Process Explorer - 응용   가끔 사용자를 괴롭히는 프로그램이   화면에 뜨는데 그 정체를 알 수가 없어서 귀찮을 때가 있을 것입니다 .   그런 경우에 Process Explorer가 유용할 수도 있습니다 .   아래 내용을 보시기 바랍니다 .   사례 1 > 사용자 처한 상황   인터넷에서 검색을하다보면.. 이런 작은 검색창이 뜨는데.. 제거하고싶어요ㅜㅜ 방법좀 갈켜줘요~ 프로그램 제거로 찾아봐도 딱히 이런게 없고.. 젠장젠장.. 내공드려용   위의 경우 Process Explorer로 급한대로 대처 가능합니다 .   우선 해당 창을 띄우는 프로세스를 알아야 합니다 .   Process Explorer 메인창에서   아래 그림에서 보이는 것과 같은 빨간 네모로 표시된 것을     마우스로 꼭 집어서(집으면 Process Explorer는 투명화 되어 다른 화면들을 볼 수 있게 해줍니다 .)   님 트레이 위에서 뜨는 팝업 창에 떨어뜨리시기 바랍니다 .     그러면 그 팝업을 실행하는   프로세스가 Process Explorer 메인창에서   파란색줄로 마킹되어 표시가 될 것입니다 .   그렇게해서 프로세스 알아내시기 바랍니다 .   단 , 이게 iexplorer에 덧붙여진 라이브러리로   또는 그냥 플래쉬로 실행시는   조금 밝히기 애매할 수도 있습니다 .   일단 시도해 보시기 바랍니다 .   프로세스 알아내셨으면   안전모드로 부팅해 해당 프로세스명으로  검색해 삭제하세요 . (프로그램 추가/제거를 이용할만큼 정보를 얻어내면 더 좋습니다 . 그런데 요즘 사용자를 괴롭히는 일부 프로그램은 프로그램 추가/제거에서 제거 시도시 하드 전체를 날리려고 하는 경우도 있다고 하니 여기 소개하는 방법이 유효 적절할 수도 있습니다 .)   안전모드로 부팅하기 : 부팅시 F8(윈도우98은 F5)를 연타해 뜨는 화면에서 안전모드(Safe Mode)를 방향키로 택한 후 엔터 . 안전모드(네트워크 사용 가능)은 택하시지 말기 바랍니다 . 안전모드 부팅후에는 화면 네 귀퉁이에 안전모드라고 쓰여 있음 .   참고로 파일 검색은 아래 그림과 같은 방법으로 하시기 바랍니다 . (파일 검색없이 Process Explorer 에서 프로세스를 더블 클릭해도 경로를 볼 수 있습니다 . )   시작▶검색▶파일 또는 폴더를 클릭   모든 파일 및 폴더 찾기 클릭하신 후   검색창 왼쪽에 보이는 고급옵션 클릭해 아래 그림처럼 체크하시기 바랍니다 . (안전모드로 부팅해 검색하는 것이 삭제가 필요시 수월하시리라 봅니다 .)     파일을 삭제하셨으면   이제 레지스트리 정보를 지우세요 .   시작-->실행-->msconfig라고 친 후 엔터해서 뜨는 창에서   창 맨오른쪽 위로 보이는 시작프로그램 탭으로 이동해   삭제한 파일 이름(프로세스명) 보이는 것 앞의 네모의 체크를 제거후 (옆으로 보면 경로(위치)도 있으니 이도 확인해 주시고요 .)   창 오른쪽 하단의 적용 , 확인 누르고 재부팅 .   리부트후 아래 같은 창이 뜨면 다시는 표시 안함에 체크하고 확인 .     이러한 방법은   팝업창으로 뜨는데 메신저 서비스 중단으로   해결되지 않는 여러 경우 , 그리고 화면에 증상을 내보이는 경우들에 유용할겁니다 .          사례2 >   일부 악성툴은 .dll 수준에서 (모든) 프로세스에 주입됩니다 .   그런 이유로 발견시 삭제가 쉽지 않을 것입니다 .   일단 안전모드에서 백신으로 진단해 삭제해보시기 바랍니다 .   안전모드로 부팅하기 : 부팅시 F8(윈도우98은 F5)를 연타해 뜨는 화면에서 안전모드(Safe Mode)를 방향키로 택한 후 엔터 . 안전모드(네트워크 사용 가능)은 택하시지 말기 바랍니다 . 안전모드 부팅후에는 화면 네 귀퉁이에 안전모드라고 쓰여 있음 .   안전 모드로 부팅해 아래 링크 참조해 바이러스 검사하시기 바랍니다 .   안전모드로 부팅전에 아래 링크의 백신을 다운받아놓고 사용법도 숙지하시기 바랍니다 .   안전모드에서 인터넷 연결 끊은 상태에서 검사하시기 바랍니다 .     현재 사용 가능한 백신 없으시면 아래 링크 참조해 다운로드 받으시기 바랍니다 . (사용중인 백신이 있으셔도 두세개의 백신으로 검사 실행하는 것이 신뢰도가 더 높아지므로 활용하시는게 좋습니다 .)   추가적인 백신으로 적당한 Dr.web의 Cureit! (현재 cureit!은 한글 메뉴 지원합니다 .)   안전모드에서도 삭제 불가시는   Process Explorer를 이용해 볼 가치가 있습니다 .   아래 그림처럼 망원경 아이콘을 눌러서 찾기 실행한 후 위에 백신 검사에서 걸린 DLL 파일의 명칭을 써넣게 되면(예 : dfll.dll 형식으로) 그 DLL이 걸린 프로세스들이 나옵니다 . (안나오면 해당 DLL이 주입된 프로세스는 안전모드에서 실행중이 아니며 삭제가 불가한 이유는 프로세스에 물려 그런 것은 아닙니다 .)   검색에 걸린 프로세스가 있다면 해당 프로세스 종료후 해당 DLL 파일을 삭제해 보시기 바랍니다 .     참고로 더 설명드리면   하부 판넬을 켰을 때 나타낼 사항들입니다 .   하부 파일들에 대한 표시 사항 정하는 것도   하부 판넬 명칭 표시줄에서   마우스 오른쪽 버튼을 눌러   Select Columns를 택합니다 .     4 . Process Explorer - 주의 ! Process Explorer로 작업관리자를 대체하지 마시기 바랍니다 .   대체시 프로그램 오류나서 종료해야할 때 애로사항이 심각할 수도 있습니다 .   즉 , 메뉴에서 아래 그림의 파란줄 앞에는 절대 체크하지 말란 소리입니다 .     5 . Process Explorer - 집필을 마치며 Process Explorer는 악성 BHO를 지울 때등 그 활용 범위가 더 넓어질 수 있습니다 .   오늘 집필에서는 기본적인 사용법과 약간의 응용과 주의 사항만을 간추려 보았습니다 .   사용하시는 각자께서 조금만 연구해 보시면   그 활용 범위를 넓혀 넓혀가실 수 있을 것으로 봅니다 .   집필자도 앞으로 Process Explorer로 해결에 도움이 될 수 있는   관련 질문이 올라오면   더욱 발전된 답변으로 그 활용도를 넓히는 방법을 알려드리도록 하겠습니다 .   6 . Process Explorer - 관련 오픈 백과 링크     오픈백과 : 트.로.이.목.마. 웜 대처하기( T r o j a n Downloader Win32 Bagle ae )   관련 오픈 백과 링크의 내용출처는 : sourireholic님께서 집필한 오픈백과   내용출처 : [직접 서술] 직접 서술/참조사이트 : 마이크로소프트 테크넷http://www.microsoft.com/technet/sysinternals/default.mspx