* 프로세스 익스플로러 (Process Explorer)
Process Explorer은 프로세스 상태를 보여주는 프로그램입니다.
. Process Explorer
https://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer
Process Explorer - Sysinternals
프로세스가 열어 둔 어떤 파일, 레지스트리 키, 기타 개체, 로드한 DLL 등을 찾으세요.
learn.microsoft.com
악성코드 분석용은 프로세스 익스플로러보다 프로세스 해커를 더 즐겨 사용합니다.
다만,프로세스 해커는 2016년이 마지막 버전입니다.
. Process Hacker
https://processhacker.sourceforge.io/
Overview - Process Hacker
processhacker.sourceforge.io
* 의심스러운 코드 찾기에는 부적합 ?!
유능한 분석가는 도구를 탓하지 않겠지만 프로세스 익스플로러로 악성코드를 찾는건 쉽지 않습니다.
과거 악성코드는 하나의 프로세스로 동작했습니다.
그래서 프로세스 익스플로러로 의심스러운 프로세스를 찾으면 됩니다.
하지만 요즘은 특정 프로세스에 코드가 주입 (Injection)되는 기법을 사용해서 프로세스만 봐서는 찾기 어렵습니다.
Process Explorer로 악성코드를 찾는다면 메모리에서 스트링 보기로 찾을 수 밖에 없습니다.
(메모리 덤프 뜨는건 Process Hacker가 훨씬 편합니다.)
* 악성코드 분석용으로는..
악성코드 분석용이라면 Process Hacker를 권하고, 의심스러운 코드는 VMMap으로 찾아볼 수 있습니다.
하지만, 분석가가 의심 프로세스에서 수상한 코드를 찾아야하는데 이런 과정을 자동화해주는 도구가 있습니다.
바로..
hasherezade 님의 hollows_hunter 입니다.
모든 프로세스를 뒤져 인젝션된 코드를 찾아서 덤프 파일로 만들어줍니다 .
https://github.com/hasherezade/hollows_hunter
GitHub - hasherezade/hollows_hunter: Scans all running processes. Recognizes and dumps a variety of potentially malicious implan
Scans all running processes. Recognizes and dumps a variety of potentially malicious implants (replaced/implanted PEs, shellcodes, hooks, in-memory patches). - hasherezade/hollows_hunter
github.com
이 도구는 다음에 소개해 드리겠습니다.
'Reverse Engineering > 분석도구' 카테고리의 다른 글
| Autoruns ... 자동실행 파일 찾기 (0) | 2024.12.10 |
|---|---|
| PE 파일 분류 ... PEiD, Exeinfo PE, Detect It Easy (1) | 2024.11.28 |
| IDA Pro OPCode Hex 표시 (0) | 2024.08.22 |
| Adobe Flash 설치판 다운로드 주소 (0) | 2017.02.16 |
| OS X에서 IDA를 이용한 원격 디버깅 (5) | 2013.01.17 |