Windows 악성코드 감염시 처리 프로세스
초기 분석
- 프로세스 확인
- 네트워크 패킷 확인
- system32 확인
- host파일 변조 확인
- 레지스트리 확인 주로 HKLM & HKCU\Software\Microsoft\Windows\CurrentVersion\Run.*
- Temp 폴더 확인 - 보통 다른이름으로 복사해 실행된다.
이후 여러 툴을 이용해 상세 분석하고, 악성코드 식별 시 리버싱.
svchost
svchost.exe
는 프로세스 하나 당 서비스 하나를 실행시키는 프로세스로, 반드시 winlogin.exe - services.exe
의 자식 프로세스로 존재해야 한다. 단독으로 존재하거나, 실행 레벨이 services.exe
와 동급이라면 악성코드일 가능성이 크다. windows 7으로 넘어오면, wininit.exe - services.exe
하위에 svchost.exe
가 존재한다. 여기서부터는 svchost.exe
하나가 복수의 서비스를 실행시킨다.
Command line 옵션을 봤을 때, -k
옵션이 없다면 악성 행위를 하는 서비스일 가능성이 크다. -k
옵션은 정상적으로 실행했을 때 붙는다.
인증
lsass.exe
: 로컬 보안 인증 서버 프로세스. 로그인한 사용자 유효성 검증. smss.exe
: 사용자의 세션을 시작 시키는 세션 관리자. winlogon.exe, csrss.exe
를 실행시킨다. 로그온 시 전체적으로 smss.exe
가 처리하면서 lsass.exe
를 불러서 계정이 있는지, PW는 맞는지 등등을 검증하고… 이런 식으로 진행된다.
주요 프로세스 실행 절차
1
2
3
4
5
6
smss.exe
- csrss.exe
- winlogon.exe
- services.exe : Check Registry
- svchost.exe
This post is licensed under CC BY 4.0 by the author.