Chapter 2. 프로세스 분석
윈도 주요 프로세스
lass.exe-Local Security Authority Subsystem Services – 보안정책 적용을 담당하고 있는 프로세스 – 비밀번호 변경, acces tokens 생성, 사용자 인증 등을 담당 – 악성코드가 많이 쓰는 이름 중 하나, 많이 사용 – 기본 경로는 C : windowsystem 32
Anomalies 악성 프로세스에서 의심해야 할 사항 – 실제 이미지의 경로가 %systemroot%system32가 아닌 경우 – 자 process를 가지고 있는 경우 – 프로세스 시작 시간이 시스템 부팅 시간과 동떨어진 경우 – CPU 점유율이 지나치게 높은 경우 -lass.exe 는 강제로 종료 시 시스템이 종료된다.
svchost.exe 프로세스의 목적 및 기능
인기글
- Service host – 동적 라이브러리(DLL)에서 실행되는 Windows의 각종 서비스 제어 – Windows 부팅 시 레지스트리의 서비스 부분을 검사 – 로드해야 할 서비스의 대상, 위치, 시작 방법 파악 – 실행 파일 경로 C: windowsystem32
- Anomalies 악성 프로세스에서 의심해야 할 사항
- – Windows 서비스와 관련이 없는 경우 – 부모 프로세스가 service.exe가 아닌 경우 – 이미지 파일의 위치가 % systemroot % system32가 아닌 경우 – 비슷한 이름으로 위장한 경우 (scvhost.exe, svchosts.exe 등)
- csrss.exe
- – Client Server Runtime process-smss.exe에 로드-각각의 프로그램이 win32apI를 호출할 때 운영 체제의 커널이 응답하도록 중계-프로세스나 스레드 생성 및 삭제-윈도우 콘솔에서 명령을 호출할 수 있도록 함-실행 파일 경로 C:windowsystem32-부모 프로세스 smss.exe
smss.exe
- Session Manger Subsystem – 동적 라이브러리(DLL)에서 실행되는 Windows의 각종 서비스 제어 – Windows 부팅 시 레지스트리의 서비스 부분 검사 – 로드해야 할 서비스의 대상, 위치, 시작 방법 파악 – 실행 파일 경로 C: windowsystem32
- Anomalies – 부모 프로세스가 시스템 프로세스(PID 4)가 아닌 경우 – 자녀 프로세스가 winlogon.exe가 아닌 경우 – 일반 사용자 프로세스보다 PID가 높은 숫자를 가진 경우 – 실행 파일의 경로가 %systemroot %system32가 아닌 경우
- services.exe
- – Service Control Manger-Service 콘솔 내의 프로세스를 실행시키거나, 종료-부팅 시 또는 사용자의 요구 시 각종 드라이버와 서비스 로드-현재 실행 중인 서비스와 드라이버 정보 및 상태 유지-유지된 정보를 통해 다른 서비스와 사용자의 요구에 응답-실행 파일 경로 C: window system32-부모 프로세스 winlogon.exe
- winlogon.exe
- – winit.exe와 같이 실행되며 winit.exe가 lass.exe와 service.exe를 함께 실행시키는 – 윈도 로그온 화면에서 SAS 키 조합 담당 – SAS(Secure Attention Sequence)는 로그인 화면을 보여주는 특별한 키 조합 – 계정아이디와 비밀번호가 일치하는지 여부를 파악 – 로그온이 이루어지면 사용자 프로필 및 환경설정
- userinit.exe – 부팅 후 시작 버튼이나 트레이, 작업 표시등 등을 로드 – 윈도 사용자 쉘인 explorer.exe 호출 – 위 작업이 끝나면 자동으로 종료 – 실행 파일 경로 C: windowsystem32
- Anomalies – 시스템 부팅 후 어느 정도 시간이 지나도록 남아있는 경우 – 실행 파일의 경로가 %systemroot %sytem32 가 아닌 경우