보안 도구 사용 방법

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1

인간중심의 현대사회에서는 무엇보다 사람이 불편함을 느끼지 않는 무엇이든 간편한 과정을 거쳐 편함을 찾는것이 가장 중요한 목표로 자리매김 하고있다. 유비쿼터스화 되고 있는 정보통신 환경에서는 사회적으로나 개인적으로 그 중요도에 대해 더이상 설명이 필요없을 정도가 될 것이다.

최근 금전적 목적등 악의적인 의도를 가지고 정보통신 환경을 악용해 자신의 이익을 챙기려는 집단이 점차 늘고 있으며, 그 피해가 더이상 방치할 수 없는 수준에 다다르고 있다.

물론 이러한 악의적인 목적을 가지는 악성코드에 대해 백신기업이나 국가기관에서 선도하여 사전방역 조치 및 대처방안을 제공하고 있으나, 유사시 개개인이 이러한 악성코드에 대해 대처하기 위한 방안이 필요하며, 그에 따른 간단한 대처방법을 도움이 될 수 있는 Tool과 함께 설명하고자 한다.


◆ 내 PC에 대한 상태를 확인하는 습관을 기르자!

Process Explorer

  - 각종 Process 확인 및 제어 용도로 사용 할 수 있는 기본적인 Tool이다.
  - 작업 관리자의 기본기능과 좀더 자세한 정보를 편리한 UI를 통해 사용자에게 제공한다.
  - 다운로드 URL : http://technet.microsoft.com/ko-kr/sysinternals/bb896653(en-us).aspx


Process Explorer는 사용자의 PC상에 구동중인 모든 Process 및 각 Process 하부의 Injection, Handle 파일에 대한 정보를 위와같이 간단한 UI를 통해 제공한다.

                                                       <패스워드 스틸러류 악성코드 감염 화면>


위의 그림과 같이 녹색과 적색박스의 Description(모든파일의 속성, 버전탭에 존재하는 설명부분)등이 누락되어 있는 파일들은 우선적으로 의심대상의 파일로 간주할 수 있다.(일반적으로 보통의 악성코드들이 Description 부분에 대한 값을 입력하지 않는다.) 상기와 같이 일정 정보값등이 누락되어 있거나 사용중이던 파일이 아닌 사용자 몰래 생성된 파일들은 정상 악성코드일 확률이 높으며, 해당 항목의 파일이 어떠한 내용을 가지고 있는지 더블클릭만으로도 일정 정보에 대한 확인이 가능하다.

보통 악성코드들은 숙주파일이 실행되면 자신은 삭제되면서 자신의 복사본을 생성 및 실행 후 특정 기능을 수행 할 수 있는 파일들을 위의 그림과 같이 정상 혹은 악성코드 Process에 Injection 및 Handle 시키는 경우가 많다.

※ Injention, Handle의 특징.

Injection : 파일 이동/복사 가능, Process Explorer상에서 파일을 직접적으로 제어 불가능.
Handle : 파일 이동/복사 불가능, Process Explorer상에서 파일을 직적적으로 제어 가능.

위 그림의 경우 explorer.exe Process에 anszxc.dll 파일이 Injection 되어있는 것을 확인 할 수 있다. Injection의 특성상 파일에 대한 기능을 완전히 상실 시키기 위해서는 해당 파일이 Injection되어 있는 Process를 종료시킨 후 재실행이 필요하다.



또한, 파일이 Injection 형태가 아닌 특정 프로세스등에 Handle되어있는 경우 Process Explorer 상단의 메뉴중 "Find" 항목의 "Find Handle or DLL..."(Ctrl+F)를 이용하여 찾아낸 후 해당 파일에 대해 위 그림과 같이 마우스 우클릭 후 Close Handle 명령을 통해 한번에 직접적으로 떼어내어 동작을 끊을 수 있다.

만일 사용중인 백신이 위와같이 확인 및 발견된 악성코드 의심파일을 진단하지 못 할 경우 Process Explorer 상에서 해당파일의 위치를 알 수 있으므로 경로를 추적하여 악성코드 의심파일을 채취 후 백신 업체등에 신고한다면 추후 백신에 의한 안전한 치료를 진행할 수 있으며, 백신에 의해 재감염 확률 또한 낮출 수 있다.

※ 악성코드 의심파일 채취 시 실행기능을 막기 위하여 확장명을 변경하는것이 좋다.
예) test.exe -> test.exe_

정상파일, 악성코드 모두 일반적으로 Process는 단일적인 구조로 이루어지나 위의 그림과 같이 정상파일의 경우 Process 시작 시퀀스등에 의해, 악성코드의 경우는 제작자의 의도에 의해 Tree 구조로 구성되는 경우가 있다.
(상기 그림의 Procexp.exe, explorer.exe Process구성 참조)


Process 구도가 Tree 형태로 이루어져 있을 경우 위 그림과 같이 Kill Process Tree 를 이용하여 한꺼번에 종료시킬 수 있다. 이 기능은 정상파일의 경우 효율성이 떨어지나 악성코드의 경우 Tree 구조로 이루어져 있을 경우 악성코드 Process 를 일괄 종료시키지 못하면 종료되지 않고 남아있는 악성코드가 종료된 Process 를 재실행 시켜주는 경우가 있기때문에 효율적으로 사용할 수 있는 기능이다.

※ Process Explorer는 위 그림과 같이 Process 엔트리들의 특징 및 용도에 따라 각각의 색으로 구분되어 표시된다.
   (Options -> Configure Highlighting 에서 인덱스 수정가능.)

 - 흰색(무색) : 시스템 영역의 프로세스
 - 초록색 : 프로세스 실행
 - 빨간색 : 프로세스 종료
 - 분홍색 : 서비스단 프로세스
 - 파란색 : 사용자단 프로세스
 - 보라색 : 패킹된 이미지의 파일

이상과 같이 Process Explorer를 이용하여 PC내에 실행되어 있는 Process들에 대한 주요 제어 방법을 알아보았으며, 다음 시간에는 PC에 등록 되어있는 주요 레지스트리 값에 대한 정보를 한눈에 알아 볼 수 있는 Tool에 대한 활용편에 대해 알아보도록 하겠다.


<※ 도구 활용편 추가 보기>

[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.nprotect.com/12
[TCPView 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #4 : http://erteam.nprotect.com/14
[Gmer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #5 : http://erteam.nprotect.com/15

댓글

댓글쓰기

보안 도구 사용 방법 관련된 글

관련글 더보기