๋คํธ์ํฌ ์ํ ์ ๊ฒํ๊ธฐ
์์คํ ์์๋ netstat์ ๊ฐ์ ๋ช ๋ น์ผ๋ก ์ด๋ ค ์๋ ํฌํธ๋ฅผ ํ์ธํ ์ ์์.
๋คํธ์ํฌ ์ํ ์ ๊ฒํ๊ธฐ
* ์ ์ฑ์ฝ๋๊ฐ ์ฌ์ฉํ๋ ํฌํธ๋ฅผ ํ์ธํ๊ธฐ ์ด๋ ค์ด ๊ฒฝ์ฐ CPorts์ ๊ฐ์ ํ๋ก๊ทธ๋จ์ ์ฌ์ฉํ์ฌ ์๋น์ค ํฌํธ๋ณ๋ก ์ฌ์ฉํ๋ ์์ฉ ํ๋ก๊ทธ๋จ์ ํ์ธํ ์ ์์.
* BackDoor-DVR๋ฅผ ์คํํ ๋ค CPorts์์ ํ์ฑํ๋ ๋คํธ์ํฌ ํญ๋ชฉ์ ์ดํด๋ณด๋ฉด ํน์ดํ ์ฐ๊ฒฐ์ด ์กด์ฌ
์ ์์ ์ธ ํ๋ก์ธ์ค์ ๋น๊ตํ๊ธฐ
* ์๋์ฐ์ ์ ๋์ค ์์คํ ๋ฑ์ ์ ์์ ์ธ ํ๋ก์ธ์ค๋ฅผ ์ธ์๋๋ฉด ๋น์ ์์ ์ธ ํ๋ก์ธ์ค๋ฅผ ์๋ณํ๋ ๋ฐ ๋ง์ ๋์์ด ๋จ.
* ์๋์ฐ ์์คํ ์ด ๋์ํ๊ธฐ ์ํ ๊ธฐ๋ณธ ํ๋ก์ธ์ค
- Csrss.exe(Client/Server Runtime SubSystem : Win 32) : ์๋์ฐ ์ฝ์์ ๊ด์ฅํ๊ณ , ์ค๋ ๋๋ฅผ ์์ฑยท์ญ์ ํ๋ฉฐ 32๋นํธ ๊ฐ์ MS-DOS ๋ชจ๋๋ฅผ ์ง์
- Explorer.exe : ์์ ํ์์ค, ๋ฐํํ๋ฉด๊ณผ ๊ฐ์ ์ฌ์ฉ์ ์ ธ์ ์ง์
- Lsass.exe(Local Security Authentication Server) : Winlogon ์๋น์ค์ ํ์ํ ์ธ์ฆ ํ๋ก์ธ์ค๋ฅผ ๋ด๋น
- Mstask.exe(Window Task Scheduler) : ์์คํ ์ ๋ํ ๋ฐฑ์ ์ด๋ ์ ๋ฐ์ดํธ ๋ฑ์ ๊ด๋ จ๋ ์์ ์ ์ค์ผ์ค๋ฌ
- Smss.exe(Session Manager SubSystem) : ์ฌ์ฉ์ ์ธ์ ์ ์์ํ๋ ๊ธฐ๋ฅ์ ๋ด๋น. ์ด ํ๋ก์ธ์ค๋ Winlogon, Win32(Csrss.exe)์ ๊ตฌ๋์ํค๊ณ , ์์คํ ๋ณ์๋ฅผ ์ค์ . Smss๋ Winlogon์ด๋ Csrss๊ฐ ๋๋๊ธฐ๋ฅผ ๊ธฐ๋ค๋ ค ์ ์์ ์ธ Winlogon, Csrss ์ข ๋ฃ์ ์์คํ ์ ์ข ๋ฃ์ํด.
- Spoolsv.exe(Printer Spooler Service) : ํ๋ฆฐํฐ์ ํฉ์ค์ ์คํ๋ง ๊ธฐ๋ฅ์ ๋ด๋น
- Svchost.exe(Service Host Process) : DLL(Dynamic Link Libraries)์ ์ํด ์คํ๋๋ ํ๋ก์ธ์ค์ ๊ธฐ๋ณธ ํ๋ก์ธ์ค ํ ์์คํ ์์ ์ฌ๋ฌ ๊ฐ์ svchost ํ๋ก์ธ์ค๋ฅผ ๋ณผ ์ ์์.
์ ์์ ์ธ ํ๋ก์ธ์ค์ ๋น๊ตํ๊ธฐ
* ์/๋ฐ์ด๋ฌ์ค๋ ๋ฐฑ๋์ด๊ฐ ์ฃผ๋ก ์ฌ์ฉํ๋ ์๋น์ค๋ช ์ Csrss์ Svchost
- Services.exe (Service Control Manager) : ์์คํ ์๋น์ค๋ฅผ ์์ยท์ ์ง์ํค๊ณ , ๊ทธ๋ค๊ฐ์ ์ํธ ์์ฉํ๋ ๊ธฐ๋ฅ์ ์ํ
- System : ๋๋ถ๋ถ์ ์ปค๋ ๋ชจ๋ ์ค๋ ๋์ ์์์ ์ด ๋๋ ํ๋ก์ธ์ค
- System Idle Process : ๊ฐ CPU๋ง๋ค ํ๋์ฉ ์คํ๋๋ ์ค๋ ๋๋ก์ CPU์ ์์ฌ ํ๋ก์ธ์ค ์ฒ๋ฆฌ๋์ %๋ก ๋ํ๋ธ ๊ฐ
- Taskmgr.exe(Task Manager) : ์์ ๊ด๋ฆฌ์ ์์
- Winlogon.exe(Windows Logon Process) : ์ฌ์ฉ์ ๋ก๊ทธ์ธ/๋ก๊ทธ์คํ๋ฅผ ๋ด๋นํ๋ ํ๋ก์ธ์ค. ์๋์ฐ์ ์์/์ข ๋ฃ์์ ํ์ฑํ๋๋ฉฐ Ctrl+Alt+Delete ํค๋ฅผ ๋๋ ์ ๊ฒฝ์ฐ์๋ ํ์ฑํ๋จ.
- Winmgmt.exe (Window Management Service) : ์ฅ์น์ ๋ํ ๊ด๋ฆฌ ๋ฐ ๊ณ์ ๊ด๋ฆฌ, ๋คํธ์ํฌ ๋ฑ์ ๋์์ ๊ด๋ จํ ์คํฌ๋ฆฝํธ๋ฅผ ์ํ ํ๋ก์ธ์ค
- msdtc.exe (Distributed Transaction Coordinator) : ์น ์๋ฒ ๋ฐ SQL ์๋ฒ ๊ตฌ๋ ์์ ๋ค๋ฅธ ์๋ฒ์์ ์ฐ๋์ ์ํ ํ๋ก์ธ์ค
- ctfmon.exe (Alternative User Input Services) : ํค๋ณด๋, ์์ฑ, ์์ผ๋ก ์ ์ ๊ธ ๋ฑ ์ฌ๋ฌ ๊ฐ์ง ํ ์คํธ ์ ๋ ฅ์ ๋ํ ์ฒ๋ฆฌ๋ฅผ ํ ์ ์๋๋ก ์ง์ํ๋ ํ๋ก์ธ์ค
- dfssvc.exe (Distributed File System (DFS)) : ๋ถ์ฐ ํ์ผ ์์คํ (Distributed File System (DFS))์ ๋ํ ์ง์์ ์ํด ๋ฐฑ๊ทธ๋ผ์ด๋๋ก ์คํ๋๊ณ ์๋ ํ๋ก์ธ์ค
์ ์ฑ์ฝ๋ ํ์ง ๋ฐ ๋์์ฑ
๋คํธ์ํฌ ์ํ ์ ๊ฒํ๊ธฐ
์๋น์์ ๋ฐฑ๋์ด๋ ์ธ๋ถ(ํด์ปค, ์ ์ฑ์ฝ๋ ์์ฑ์)์์ ํต์ ์ ์ํด ์๋น์ค ํฌํธ๋ฅผ ์์ฑ
[์ถ์ฒ] ์ ์ฑ์ฝ๋ ํ์ง ๋ฐ ๋์์ฑ |์์ฑ์ Zealous
[์ถ์ฒ] ์ ์ฑ์ฝ๋ ๋์|์์ฑ์ Zealous
'Security Study > System Security' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
๋ฐ์ด๋ฌ์ค ์ข ๋ฅ (0) | 2015.09.03 |
---|---|
๋ฐ์ด๋ฌ์ค์ ์ ์ (0) | 2015.09.03 |
์์ด๋? (0) | 2015.09.03 |
๋คํธ์ํฌ ์ํ ์ ๊ฒ (0) | 2015.09.03 |
hash? (0) | 2015.09.03 |
๋๊ธ