시스인터널스 툴 (Sysinternals Tools)

실습> 시스인터널스 툴

참고 : https://docs.microsoft.com/en-us/sysinternals/

wiki 참고 : https://ko.wikipedia.org/wiki/Sysinternals

작업관리자 단축키 : Ctrl + Shift + ESC

procexp.exe, procexp64.exe

작업관리자 대체 :  메뉴 -> Options -> Replace Task Manager 체크

바이러스 토탈 : 전세계 백신 엔진이 모여있는 곳
https://www.virustotal.com/

바이러스 토탈과 연동이 되어 있다. 
그러므로 의심스러운 파일이 실행되어 있다면 virustotal 올려서 검사해서 악성유무를 확인하면 된다.

Tcpview.exe : 윈도우용 netstat 라고 생각하면 된다.
- 통신을 하는 프로세스(tcp or udp)를 실시간으로 모니터링하는 툴
Autoruns.exe : 레지스트리 및 서비스 부분에 대한 정보를 출력한다.
procexp.exe : 윈도우용 작업관리자 (virustotal과 연동 가능)

실습> 아래 툴을 이용해서 확인하기

1. 공격자가 심어놓은 백도어 확인한다.
- autoruns.exe를 실행해서 레지스트리에 등록한 backdoor 확인하기
- 시작 프로그램 -> malware.exe 확인하기

2. procexp.exe 확인하기
- procexp.exe를 실행해서 nc.exe 가 실행한 정보를 확인한다.
- 공격자와 연결(ESTABLISHED)된 부분을 확인한다.
- nc.exe의 경로를 확인한다.

3. tcpview.exe 확인하기
- 네트워크 연결 부분을 확인한다.