Process Explorer 사용 방법 (How to use Process Explorer)

 Process Explorer 사용 방법 (How to use Process Explorer)


Process Explorer 사용 방법 (How to use Process Explorer)

윈도 운영체제에서 Ctrl + Shift + ESC 단축키로 '작업 관리자'를 실행하여 프로세스를 점검할 수 있지만 각각 프로세스를 점검하고 확인하기에 다소 어려움이 있습니다.

Sysinternals Utilities 사이트에서 'Process Explorer' 프로그램을 다운로드하여  보다 쉽게 프로세스를 점검하는 방법을 알려드리겠습니다.


Process Explorer Download


Process_Explorer_Download

Sysinternals Utilities 사이트에서 Ctrl + F 단축키를 입력하여 'Process Explorer'로 검색하여 최신 버전의 'Process Explorer'를 다운로드합니다.

다운로드한 파일은 zip 파일로 압축되어 있습니다. 압축을 해제하고 운영체제의 아키텍처에 맞는 실행 파일을 실행합니다. 예) 64bit 운영체제의 경우 procexp64.exe 파일 실행.


Process Explorer 초기 권장 설정


Process_Explorer_초기_권장_설정

Process Explorer를 처음 실행하셨다면 [Options] 메뉴에서 'Verify Image Signatures'와 'Check VirusTotal.com' 메뉴를 체크해 주세요.

Verify Image Signatures는 프로세스의 Signatures를 Verify 해주는 기능입니다.

Check VirusTotal.com은 각 프로세스의 hash 값을 VirusTotal.com에 전송하여 바이러스 점검을 할 수 있는 기능입니다. 인터넷에 연결된 상태에서 바이러스 점검 결과를 확인할 수 있습니다.


Process_Explorer_VirusTotal_Signature


Process Explorer configure colors


Process Explorer configure colors

[Options] - [Configure Colors] 메뉴를 선택하여 프로세스의 종류별로 색상을 설정할 수 있습니다. 기본으로 설정된 색상이 어떤 카테고리로 설정되어 있는지 이 메뉴를 사용하여 확인할 수 있습니다.

Process Explorer configure colors

Packed Images(보라색)으로 나오는 프로세스가 있다면 바이러스 가능성이 매우 높습니다. 꼭 check virusTotal 결과를 확인해 보세요.

VirusTotal 결과

Check virusTotal.com 기능이 활성화되면 각 프로세스의 VirusTotal check 결과가 나오게 됩니다. 파란색으로 0/76과 같이 나오면 바이러스가 없는 상태이며 1/76(빨간색)과 같이 나오는 경우에는 76개의 anti-virus engine 중 1개에서 바이러스로 판단을 했다는 의미입니다.

Process Explorer를 1/76과 같이 바이러스로 판단했지만 Signature 부분을 확인해 보시면 (Verified) Microsoft Corporation으로 나오기 때문에 안심하시고 사용하셔도 됩니다.

바이러스 프로세스를 Kill Process 시키려면 마우스 오른쪽 클릭하여 먼저 suspend 메뉴를 눌러서 해당 프로세스를 suspend 시킨 다음 다시 마우스 오른쪽 클릭하여 Kill Process (단축키 Del)를 선택하시면 됩니다. (중요)

Process_Explorer_TCP/IP

 위 사진은 Process Explorer의 TCP/IP 연결 상태를 확인해본 결과 입니다.

Process Explorer에서 virusTotal과 Signature check를 할 수 있기 때문에 Remote Address에 연결된 서버 IP와 State에 ESTABLISHED라고 나오게 됩니다. 이는 정상이지만 바이러스로 의심되는 프로세스를 발견하게 되면 마우스 오른쪽 클릭하여 "Properties' 메뉴를 실행하고 TCP/IP를 추가로 확인해보세요.

연결된 Remote Address가 비트 코인 채굴 관련 서버 또는 악성 서버인지 whois 검색/reverse domain 검색을 하여 최종적으로 판단할 수 있습니다.

이 블로그의 인기 게시물

Hyper-V Default Switch 인터넷 연결 문제 해결(No Internet Solved)

이미지
 Hyper-V Default Switch 인터넷 연결 문제 해결(No Internet Solved) Windows Pro 버전부터 사용할 수 있는 Hyper-V, 그중에서 인터넷을 사용할 수 있는 기본 가상 스위치(Default Switch)를 사용해도 인터넷을 사용할 수 없는 경우가 있습니다. 개인(Private Switch), 내부(Internal Switch), 외부(External Swithch), 기본(Default Switch) 각각 차이점을 살펴보고 해결 방법도 알려드리겠습니다. 제가 사용하는 Wi-Fi 네트워크 어댑터 설정을 보여드리겠습니다. 저는 DNS만 바꿔서 사용하고 있습니다. DNS는 구글(8.8.8.8), Cloudflare(1.1.1.1) 등 자신이 좋아하는 DNS로 바꿔도 상관없습니다. Default Switch로 연결된 Kali Linux VM에서 nslookup 명령어를 사용해 봤습니다. dnsleaktest를 해보면 Cloudflare로 나옵니다. Wi-Fi 네트워크에 수동으로 설정해 준 DNS 서버를 통해서 정상적으로 인터넷을 사용할 수 있게 됩니다. Hyper-V를 활성화시키면 네트워크 연결에 vEthernet(Default Switch)가 생성됩니다. 제 컴퓨터는 Wi-Fi를 통해 연결되어 있으며, 위와 같이 총 4개의 네트워크 어댑터가 있습니다. 개인 네트워크 (Private Switch) 가상 스위치 Hyper-V를 처음 실행하면 Default Switch만 (WSL 사용 시 WSL 스위치 추가) 있을 것입니다. 사용하는 VM의 용도에 맞게 개인 네트워크(Private Switch), 내부 네트워크(Internal Switch), 외부 네트워크(External Switch)로 설정할 수 있습니다. 이 중에서 개인 네트워크(Private Switch)은 단순히 컴퓨터에 랜 카드만 하나 달린 상태로 보시면 이해가 쉬울 것 같습니다. 컴퓨터에 랜카드는 있지만 아무런 설정이 안된 상태라 직접 랜카드에 IP, Netma...
Read more »

KB5034441 Error (0x80070643) 해결방법

이미지
 KB5034441 Error (0x80070643) 해결방법 KB5034441 Windows update의 오류가 자체적으로 해결되기를 기다렸지만 해결될 기미가 보이지 않았습니다. 그래서 수동으로 RE Partition(복구 파티션)의 크기를 확장하여 문제를 해결했습니다. 그 방법은 굉장히 쉽습니다. 차근차근 따라 해보세요. RE partition 및 Disk 번호 확인 cmd 명령 프롬프트를 "관리자 권한으로 실행" 메뉴를 선택하여 관리자 권한 으로 실행합니다. reagentc /info 명령어를 실행합니다. Windows RE 위치: harddisk 뒤에 나오는 숫자를 확인합니다. 제 경우는 1번입니다. reagentc /disable 명령어를 실행합니다. 디스크 관리 실행 [Win + X] 단축키, K key 를 입력하여 디스크 관리를 실행합니다. 제 경우, RE Partition이 설치된 위치는 harddisk1번이었습니다. 기본으로 생성된 RE Partition(535 MB) 부분을 선택 - 마우스 오른쪽 클릭 - 삭제하여 파티션을 삭제합니다. 그리고 운영체제가 설치된 파티션을 선택하고 마우스 오른쪽 클릭 - 축소 - 1000을 입력하여 1000MB만큼 용량을 축소합니다. 약 1.5GB의 할당되지 않음으로 나오면 diskpart 프로그램을 실행하여 RE Partition을 1.5GB로 생성해 주는 작업이 추가로 필요합니다. diskpart , RE Partitioning [Win + r] 단축키를 입력, diskpart 를 다시 입력하여 프로그램을 실행합니다. list disk 명령어를 실행합니다. 제 RE Partition은 disk1에 생성해야 합니다. 따라서 select disk 1 을 입력합니다. 이때 disk 1이 Gpt에 *가 있다면 GPT, 없다면 MBR 파티셔닝 방식입니다. [GPT인 경우] create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac 명...
Read more »

svchost.exe 파일 점검하는 방법(How to verify svchost.exe file)

이미지
 svchost.exe 파일 점검하는 방법 윈도 운영체제의 svchost.exe 파일은 정상적인 프로세스입니다. 그러나 경우에 따라 악성 프로그램이 이 프로세스 이름과 동일한 프로세스로 위장하는 경우가 있습니다. 어떤 게 진짜 svchost.exe 파일인지 구분하기 힘들기 때문에 진짜로 착각하는 경우가 생길 수 있습니다. 그 구분 방법에 대해서 알려드리도록 하겠습니다. Process Explorer 활용하는 방법 Sysinternals Utilities 에 방문하여 'Process Explorer' 최신 버전을 다운로드합니다. Ctrl + Shift + Esc 로 실행할 수 있는 '작업 관리자'보다 더욱 쉽게 프로세스를 점검할 수 있는 도구입니다.  프로그램이 실행되면 먼저 [Menu] - [Options] - [VirusTotal.com] - [Check VirusTotal.com] 에 체크합니다. VirusTotal 항목에 바이러스 점검 결과가 숫자로 표시됩니다. 파란색 0으로 나오면 문제가 없는 프로세스이며 0 이상의 숫자와 함께 빨간색으로 표시되는 프로세스는 악성 프로세스일 가능성이 있습니다. 삼성 노트북 agent 프로그램도 빨간색으로 표시되지만 정상 프로세스이니 안심하세요. svchost.exe 파일 점검 절차 Process Explorer의 검색창에 'svchost'라고 입력하면 svchost.exe 파일 만 확인할 수 있습니다. 정상적인 svchost.exe 파일은 Company Name에 Microsoft Corporation이라고 나옵니다. 가짜 svchost.exe 파일의 Company Name은 보통 공란(Blank) 상태입니다. 혹은 svchost.exe 파일이 아닌 scvhost.exe 파일과 같이 비슷한 이름으로 위장할 수 있습니다. 만약 svchost.exe 파일, Company Name 항목에 공란(Blank) 로 나온다면 대부분 악성 파일입니다. 이 경우 다음 절차에 따라 더 자세히 점...
Read more »