Windows 악성코드 감염시 처리 프로세스

초기 분석

• 프로세스 확인
• 네트워크 패킷 확인
• system32 확인
• host파일 변조 확인
• 레지스트리 확인
  주로 HKLM & HKCU\Software\Microsoft\Windows\CurrentVersion\Run.*
• Temp 폴더 확인 - 보통 다른이름으로 복사해 실행된다.

이후 여러 툴을 이용해 상세 분석하고, 악성코드 식별 시 리버싱.

svchost

`` svchost.exe``는 프로세스 하나 당 서비스 하나를 실행시키는 프로세스로, 반드시 `` winlogin.exe - services.exe``의 자식 프로세스로 존재해야 한다.

단독으로 존재하거나, 실행 레벨이 `` services.exe``와 동급이라면 악성코드일 가능성이 크다.

windows 7으로 넘어오면, `` wininit.exe - services.exe`` 하위에 `` svchost.exe``가 존재한다.

여기서부터는 `` svchost.exe`` 하나가 복수의 서비스를 실행시킨다.

Command line 옵션을 봤을 때, `` -k``옵션이 없다면 악성 행위를 하는 서비스일 가능성이 크다.

`` -k`` 옵션은 정상적으로 실행했을 때 붙는다.

인증

`` lsass.exe`` : 로컬 보안 인증 서버 프로세스. 로그인한 사용자 유효성 검증.

`` smss.exe`` : 사용자의 세션을 시작 시키는 세션 관리자. `` winlogon.exe, csrss.exe``를 실행시킨다.

로그온 시 전체적으로 `` smss.exe``가 처리하면서 `` lsass.exe``를 불러서 계정이 있는지, PW는 맞는지 등등을 검증하고... 이런 식으로 진행된다.

주요 프로세스 실행 절차

```c

smss.exe

    - csrss.exe

    - winlogon.exe

        - services.exe      : Check Registry

        - svchost.exe

```