Windows 악성코드 감염시 처리 프로세스
초기 분석
- 프로세스 확인
- 네트워크 패킷 확인
- system32 확인
- host파일 변조 확인
- 레지스트리 확인
주로 HKLM & HKCU\Software\Microsoft\Windows\CurrentVersion\Run.* - Temp 폴더 확인 - 보통 다른이름으로 복사해 실행된다.
이후 여러 툴을 이용해 상세 분석하고, 악성코드 식별 시 리버싱.
svchost
`` svchost.exe``는 프로세스 하나 당 서비스 하나를 실행시키는 프로세스로, 반드시 `` winlogin.exe - services.exe``의 자식 프로세스로 존재해야 한다.
단독으로 존재하거나, 실행 레벨이 `` services.exe``와 동급이라면 악성코드일 가능성이 크다.
windows 7으로 넘어오면, `` wininit.exe - services.exe`` 하위에 `` svchost.exe``가 존재한다.
여기서부터는 `` svchost.exe`` 하나가 복수의 서비스를 실행시킨다.
Command line 옵션을 봤을 때, `` -k``옵션이 없다면 악성 행위를 하는 서비스일 가능성이 크다.
`` -k`` 옵션은 정상적으로 실행했을 때 붙는다.
인증
`` lsass.exe`` : 로컬 보안 인증 서버 프로세스. 로그인한 사용자 유효성 검증.
`` smss.exe`` : 사용자의 세션을 시작 시키는 세션 관리자. `` winlogon.exe, csrss.exe``를 실행시킨다.
로그온 시 전체적으로 `` smss.exe``가 처리하면서 `` lsass.exe``를 불러서 계정이 있는지, PW는 맞는지 등등을 검증하고... 이런 식으로 진행된다.
주요 프로세스 실행 절차
```c
smss.exe
- csrss.exe
- winlogon.exe
- services.exe : Check Registry
- svchost.exe
```
'Security > Forensic' 카테고리의 다른 글
파일 카빙 ( File Carving ) (0) | 2017.11.01 |
---|---|
Volatility (0) | 2017.10.27 |
Prefetch, Superfetch (0) | 2016.09.07 |
USB 사용 기록 조사 (0) | 2016.09.06 |
Tools - Forensic (0) | 2016.09.05 |