프로세스 영역
Process Explorer
현재 실행되는 프로세스를 관리하고 분석하는 툴
프로세스를 트리형식으로 보여줌
사용되는 시스템의 리소스와 프로세스의 상세정보 파악 가능
프로세스 종료 정지 재시작은 물론 dump 파일을 생성해 메모리 분석도 가능하게함
Properties 메뉴를 통해 문자열, 네트워크 통신, 리소스등 다양한 정보 확인 가능
Process Monitor
현재 실행되는 모든 프로세스의 동작을 보여주는 툴
프로세스가 사용하는 시스템 자원, 레지스트리 변경여부, 사용하는 파일을 실시간으로 기록하고 보여줌
짧은 시간에 많은 기록을 보여주기때문에 필터기능을 활용하여 특정 프로세스 및 API 만 관찰 해야함
레지스트리 이용내역 - 파일 이용내역 - 네트워크이용내역 - 쓰레드 이용내역 필터로 설정하여 확인가능
상세 필터에 들어가게되면 Architecture, Process Name 등 모니터링 하고 자 하는 프로세스를 선택하여 해당 프로세스만 관찰 가능
원하는 프로세스를 적은뒤 add - apply 하면 필터 적용 완료
System Explorer
윈도우 작업관리자의 확장판
현재동작하는 프로세스 정보 및 부팅시 실행되는 정보, 네트워크 연결 정보를 모니터 할수 있음
파일, 레지스트리 영역
Autoruns
윈도우 부팅 후 자동으로 시작되는 서비스를 모니터링 하는 툴
Auroruns 툴을 사용해 악성 파일 실행 전과 후의 스냅샷을 촬영하고 비교
상단의 저장 버튼으로 악성 파일 실행 전후를 저장하고
file의 compare 기능으로 두 스냅샷의 변경점 확인 가능
Regshot
프로그램 실행 전후의 레지스트리 변경 값을 보여주는 툴
프로그램 설치 전 후 를 첫 번째, 두번째 샷으로 저장 후 compare
추가된 키 , 추가된 값, 수정된 값, 총변경 값을 문서로 알려줌
네트워크 영역
Smartsniff
클라이언트의 IP로 들어오는 패킷을 캡처해 보기 쉽게 정리해주는 프로그램
구글 사이트 접속 후 확인 할 수 있는 google과의 https 통신 패킷
대부분 wireshark로 확인가능, 간단하게 확인할때 이용하는 툴
Currports
현재 열려있는 모든 TCP / IP 및 UDP 포트 목록을 로컬 컴퓨터에 표시하는 네트워크 모니터링 툴
원치 않는 TCP 연결을 닫고 포트를 여는 프로세스를 종료하고
HTML 파일, XML 파일 또는 탭 구분 텍스트 파일에 TCP / UDP 포트 정보를 저장
의심스러운 포트 자동으로 표시
연결된 서버와 클라이언트간의 패킷량 및 트래픽량에 대한 누적치를 볼수 있고
해당 프로그램이 연결되는 프로세스명, 위치, 서비스명등의 정보를 확인
chrome 실행 후 프로세스가 사용하는 포트와 사이트 접속후 사용 되는 포트와 정보 확인 가능
wireshark
실시간 패킷 확인 가능한도구
두 개체 사이의 네트워크에서 전달되는 패킷을 수신하여 PCAP이라는 포맷으로 저장
현재 컴퓨터에서 사용하는 네트워크 인터페이스 선택
실시간으로 송수신되는 패킷들 관찰가능
3way handshake 패킷까지 확인 가능
필터링 기능을 이용해 원하는 정보를 찾을 수 있음
- Capture Filter: 로그에 기록되는 데이터를 선택하기 위함 (캡쳐 시작 전에 정의)
- Display Filter: 캡쳐된 로그에서 데이터를 찾기 위함 (캡쳐되는 동안 또는 캡쳐 후에 수정 가능)
| eth.addr | 원하는 MAC 주소 필터 |
| !(eth.addr) | 입력한 MAC 주소 예외 |
| eth.src | 출발지 MAC 주소 설정 |
| eth.dst | 목적지 MAC 주소 설정 |
| tcp.port | TCP 포트 설정 |
| !(tcp.port) | 입력한 TCP 포트 주소 예외 |
| tcp.srcport | 출발지 TCP 포트 설정 |
| tcp.dstport | 목적지 TCP 포트 설정 |
| udp.port | UDP 포트 설정 |
| !udp.port | 입력한 UDP 포트 예외 |
| udp.srcport | 출발지 UDP 포트 설정 |
| udp.dstport | 목적지 UDP 포트 설정 |
| ip.addr | IP 필터 |
| !(ip.addr) | 입력한 IP 주소 예외 |
| ip.src | 출발지 IP 주소 설정 |
| ip.dst | 목적지 IP 주소 필터 |
Reference
https://doongdangdoongdangdong.tistory.com/249
https://blog.naver.com/ncloud24/221406544091
https://m.blog.naver.com/hudae123/221334131929
https://ko.savtec.org/articles/howto/how-to-use-regshot-to-monitor-your-registry.html
https://blog.naver.com/PostView.nhn?blogId=nico1691&logNo=220096354496
https://m.blog.naver.com/naturelove87/221939615758
https://maker5587.tistory.com/18
'보안관제' 카테고리의 다른 글
| 악성 코드 분석 실습2 (2) | 2024.01.14 |
|---|---|
| 악성코드 분석 실습1 (1) | 2024.01.10 |
| 정적 분석 도구 실습 (1) | 2023.12.20 |
| 동적분석, 정적분석 (1) | 2023.12.07 |
| Virustotal (1) | 2023.11.25 |