윈도우 보안
- 윈도우 프로세스
프로세스 : 실행중인 프로그램(Program in use)
프로세스를 확인하는 방법은 작업관리자(Ctrl + Alt + Del)에서 실행중인 프로세스들을 볼 수 있다.
또한, cmd창에서는 tasklist의 명령어를 이용하면 된다.
윈도우 주요 프로세스
윈도우 운영체제 관련 프로세스 위치는
C:\windows\system32 폴더 입니다.
wininit.exe : 윈도우 시작 프로세스
services.exe : 윈도우 서비스 관리
Smss.exe(session manager): 이는 부팅 이후 최초로 생성되는 user mode 프로세스이다. 운영체제 초기화에 필요한 여러 중요한 역할을 담당하며, csrss.exe나 winlogon.exe과 같은 주요 프로세스들을 실행시키는 역할을 담당한다.
lsm.exe : (Local Session Manager) 시스템 관리, 함수 실행, 호스트와 서버 연결 관리
lsass.exe : (Local Security Authority Subsystem Service) 로그인 검사, 비밀번호 변경 관리, 액세스 토큰 생성, Window Security Log를 작성
svchost.exe : 서비스 관리 프로세스
conhost.exe : 키보드, 마우스 입력, 문자 출력 등 기능 수행
Csrss.exe : Windows 콘솔을 관리하고 커널모드의 드라이버와 쓰레드를 생성, 삭제하는 프로세스
바이러스가 감염되게 되면
필수 프로세스들과 이름이 동일한 프로세스를 만들어서 사용자들이나 백신에 의해서 탐지 되지 못하도록한다.
Process Explorer 프로그램은 현재 실행중인 프로세스들의 자세한 정보를 보여줍다. 이 프로그램을에서 프로세스들 중에 의심되는 프로세스의 정보를 파악하고 감염됬는지를 확인할 수 있습니다.
링크 주소 : https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
Process Explorer - Windows Sysinternals
Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more.
docs.microsoft.com
프로세스가 감염되었는지 확인하는 방법 :
의심스로운 프로세스 선택 > 오른쪽 클릭 > check virustotal > 여러 백신업체로 검사해서 감염 결과를 알려줍니다.
주요 프로세스 감염여부 확인하기
1. 파일 위치 확인
작업관리자 또는 Process Explorer를 열고 실행중인 프로세스의 파일이 올바른 위치에 있는지 확인합니다.
주여 프로세스의 정상적인 경로는 C:\Windows\System32 폴더입니다. 이 외의 폴더에 위치하고 있을 경우 바이러스일 수 있습니다.
2. 종료해보기
작업관리자에 있는 프로세스를 종료해보기
> 중요 프로세스의 경우 종료를 시도하면 작업을 완료하지 못하거나 엑세스가 거부되었다는 메시지가 나타납니다.
> 이 메시지가 나타나지 않는다면 해당 프로세스는 바이러스나 악성코드일 확률이 매우 높습니다.
3. 개별 파일 바이러스 검사하기
프로세스 파일을 개별적으로 검사해보면 조금 더 확실하게 바이러스 감염 유무를 확인 할 수 있습니다.
(C:\Windows\System32 폴더에서 개별검사 또는 Process Explorer를 통해서 바이러스 검사(check virustotal)하기)
출처: https://gbworld.tistory.com/1420 [봉잡스]
