Process Hacker
https://processhacker.sourceforge.io/
Overview - Process Hacker
processhacker.sourceforge.io
* Process Hacker
프로세스 익스플로러 (Process Explorer)와 유사한 프로그램입니다.
https://xcoolcat7.tistory.com/1566
프로세스 익스플로러 (Process Explorer) .. 악성코드 분석용으로는 글쎄
* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다. . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternal
xcoolcat7.tistory.com
32/64 비트 실행 파일이 나뉘어져 있습니다.
Process Hacker 의 장점이라면 원하는 프로세스의 메모리 덤프입니다.
원하는 프로세스를 선택하고 'Memory' 항목에서 원하는 주소 (Base address)에서 오른쪽 버튼을 누르고 'Save'로 저장하면 됩니다.
바이너리 파일로 저장하고 그 파일로 분석하면 됩니다.
물론 요즘은 Hollows Hunter 와 같은 훌륭한 메모리 덤프 프로그램이 있어 수작업으로 볼 일은 많이 없습니다.
https://xcoolcat7.tistory.com/91053
Hollows Hunter ... 프로세스에서 의심스러운 코드 찾기
VMMap으로 프로세스에 숨겨진 수상한 스레드(코드)를 찾을 수 있습니다. https://xcoolcat7.tistory.com/91343 VMMap ... 메모리 구조 보기* VMMap https://learn.microsoft.com/ko-kr/sysinternals/downloads/vmmap VMMap - Sysint
xcoolcat7.tistory.com
하지만, 악성코드 중 일부는 헤더를 깨뜨려놓거나 일반적인 Private 타입이 아닌 형태로 악성코드 조각이 저장되어 있기도 합니다. 그럴 경우에는 Hollows Hunter에서 발견되지 않을 수 있습니다. 그때 Process Hakcer로 메모리 덤프 뜰 수 있습니다.
단점이라면 2016년 이후 업데이트 안되고 있어 최신 윈도우 버전에서 문제가 발생할 수 있습니다.
(윈도우 10에서는 이상없이 잘 사용하고 있습니다.)
'보안위협 (악성코드) > 악성코드 분석' 카테고리의 다른 글
| VMMap ... 메모리 구조 보기 (0) | 2024.12.24 |
|---|---|
| 세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석 (11) | 2017.04.01 |
| 내 tistory 블로그로 악성코드가 배포 ?! (2) 패킷 분석편 (6) | 2014.03.16 |
| 내 tistory 블로그로 악성코드가 배포 ?! (1) (0) | 2014.03.16 |
| 2 KB 초미니 백도어(?) 분석 과정 (13) | 2014.02.25 |