이 글은 과거 , 일년 전에 발행했던 두 개의 글을 하나로 합친 것이다 .
그러나 단순히 합친 것이 아니고 그 내용을 보강/첨삭하여 합친 것이다 .
글벌레 단언하건데 이 글을 정독하고 필요시마다 참조한다면 더 이상 netstat를 쳐보고 고민하는
그런 일은 없을 것이다 . 단언컨데 개인 사용자 수준에서 시스템과 외부의 연결 상태를 확인해보는
방법론을 제시한 글들중에서 이 글보다 더 자세히 써진 글은 전 세계 다 뒤져 보아도 없을 것이다 .

글은 상당히 길다 . 그러나 잘만 소화해서 이용한다면 
아마도 내일부터 당신은 컴퓨터의 고수라 불릴지도 모르겠다 . 

나 또한 전문가가 아닌 일반 유저이다 .
그런데 이렇게 설명을 하고 있는데 , 나보다 머리 좋을 당신이 설마 이 글을 이해 못하겠는가 ?

포탈 질문 게시판들에서 요즘 들어 크게 늘어난 질문들이 
해킹 여부에 관한 질문을 하는데 그 자료로서
명령 프롬프트에서 netstat를 치고 뜬 결과를 제시하는 경우이다 . 

이렇게 막연히 netstat를 쳐보고 해킹 당한다고 느끼는 사람들이
자신의 시스템의 외부 연결 상태를 있는 그대로 정확히 보는 법에 대하여
이 글에서 언급해 보고자 한다 .

이 글은 다음과 같은 순서로 진행된다 .

1 . netstat를 적절하게 이용하는 방법
▷. 참조 - 침입 탐지 프로그램 - Fport
2 . TCPView
3 . 부언 ( 附言 )

 1 . netstat를 적절하게 이용하는 방법

해킹에 대하여 염려를 하는 경우 대개 netstat를 한 번 이용해 보라는 말을 듣게 된다 .

그럼 어디 한 번 이용해 보기로 하자 .

시작>실행에서 cmd 라고 치고 엔터하면 명령 프롬프트 창이 뜬다 .
거기서 netstat -an이라고 쳐 보자 .

 C:\>netstat -an

Active Connections

  Proto  Local Address                Foreign Address            State
  TCP    0.0.0.0:135                     0.0.0.0:0                        LISTENING
  TCP    0.0.0.0:445                     0.0.0.0:0                        LISTENING
  TCP    333.333.173.333:139        0.0.0.0:0                        LISTENING
  TCP    333.333.173.333:2927       233.231.33.49:80             
ESTABLISHED
  TCP    127.0.0.1:1026              0.0.0.0:0                        LISTENING
  UDP    0.0.0.0:445                      *:*
  UDP    0.0.0.0:500                      *:*
  UDP    0.0.0.0:4500                    *:*
  UDP    333.333.173.333:123          *:*
  UDP    333.333.173.333:137         *:*
  UDP    333.333.173.333:138         *:*
  UDP    333.333.173.333:1900       *:*
  UDP    127.0.0.1:123                  *:*
  UDP    127.0.0.1:1031                *:*
  UDP    127.0.0.1:1034                *:*
  UDP    127.0.0.1:1900                *:*
  UDP    127.0.0.1:2346                *:*


그러면 대충 위와 같이 나타날 것이다 .

조금만 주석을 달아 본다면
초록색 형광펜이 내 ip , 파란 형광펜이 내 시스템이 연결될려는 원격지 ip 이다 .
빨간색 형광펜은 열려 있는 포트를 뜻한다 .
(http://)80으로 표시된다 .
State는 상태를 뜻하는데 현재 위에서 보면 연결(ESTABLISHED)된 것은
80 이란 수자로 볼 때
인터넷 익스플로러로 웹에 연결한 상태임을 짐작케 하고 이런 경우는 대개 정상이다 .

127.0.0.1loop back이라고 해서 그냥 쉽게 내 시스템 안에서 맴도는 것이라고 생각하면 된다 .

아래 참고로 상태에 대하여 간단히 언급해 놓는다 .

syn_sent : 원격지로 접속을 위한 신호를 보냈음을 의미 .
LISTENING : 접속을 위한 대기 상태 .
ESTABLISHED : 접속된 상태 .
TIME_WAIT : 접속을 완료후 대기 .

그런데 위의 표는 내가 여러 개의 인터넷 창들을 띄워놓고 ,
그중 하나를 새로 고친 후 netstat를 치고 그 상태를 본 것이다 .

보면 알겠지만 도데체 무슨 소리인지 이해하지 못하는 사용자들이 대다수일 것이다 .
결국 netstat -an이라고만 쳐서는 알 수 있는 것이 거의 없다 .....
그럼에도 포탈에 올라오는 질문들은 이 꼬라지를 올려놓고 해킹 여부를 묻는다 .

거기다가 위의 경우는 80이므로 웹이라고 말했지만 , 혹 다른 수자라도 뜨면 난감할 것이다 ........

그럴 때는 어느 프로세스가 원격지로 접속을 했는지 알아야 한다 .
그래서 결국 netstat -anb란 명령을 써야 한다 .

참고 : netstat 명령줄 옵션을 보려면 아래 더보기를 클릭 .

더보기


netstat -anb 는

 C:\>netstat -anb

Active Connections

  Proto          Local Address                  Foreign Address         State                PID
  TCP           333.333.173.333:3796           333.233.33.33:80       ESTABLISHED     2256
  [iexplore.exe]

  TCP           333.333.173.333:3797           333.233.33.33:80       ESTABLISHED     2256

  UDP          333.333.173.333:123                *:*                                                916
  c:\windows\system32\WS2_32.dll
    ntdll.dll
  -- unknown component(s) --
  [svchost.exe]        


위와 같이 자세히 라이브러리들(dll 파일들)까지 보여주어서 상당히 유용성이 클거 같지만 ,
이 명령은 결과를 호출해 내는데 시간이 꽤 걸리게 된다 .

그리고 위의 예에서
iexplore.exe 같은 경우는 원격지 80 포트를 향해 접속하므로
웹에 접속한 정상 iexplore.exe란게 구별이 되지만

어떤 경우들에는 이상한 포트들이 열려 접속을 하고 접속 프로세스 명도 낯설 때는 ,
그 프로세스의 경로 조차 이 걸로는 파악이 즉각 안되어 난감할 것이다 .

위 표에서 밑에 쪽으로 보면  ntdll.dll 과 같이 라이브러리들까지 보여
더 세밀한 관찰이 가능하다고 여길지 모르지만 ,
이렇게까지 보여주는 이유는 svchost.exe주요 프로세스이기 때문이며
,
현재의 svchost.exe가 정상 svchost.exe란 이야기로만 해석될 뿐이다 .

그래서 보통 사용자들에게는 크게 효용성이 없는데 반하여 시간은 오래 걸린다 .

더욱 중요한 것은 Time_wait 상태( State )에 있는 프로세스는
그 것이 무엇인지를 보여주지 않는다는 단점이 존재한다 .

시간이 오래 걸린다는 점에서 이 명령 대용으로 netstat -ano를 사용하기도 한다 .

 C:\>netstat -ano

Active Connections

  Proto    Local Address          Foreign Address        State                   PID
  TCP    333.333.173.333:3955   333.233.23.333:80        ESTABLISHED    
2256
  TCP    333.333.173.333:3949   333.333.253.33:80       TIME_WAIT           0


그렇게 되면 위와 같이 PID가 표시된다 .

PID를 알면 Ctrl + Alt + Del 을 눌러 작업 관리자를 띄운 후
해당 PID를 점유한 것이 어떤 프로세스인지 확인이 가능하다 .


그러나 이때도 역시  Time_wait 상태에 있는 프로세스는
그 것이 무엇인지를 보여주지 않고 , 프로세스(=파일)의 경로 또한 즉시 파악은 안된다는 단점이 존재한다 .



그런데 가만히 보면 위의 어느 경우든지 보게 되는 것은 정적인 상태이다 .

그래서 동적인 상태를 보려면 위의 명령을 되풀이 하든가
또는
위에 참고로 써놓은 더보기/접기의 netstat 옵션에서 알 수 있듯이 시간 옵션을 넣어야 한다 .

예를 들어

netstat -an 5 라고 명령을 치게되면 5초마다
명령 프롬프트 창에서 netstat -an 를 친 결과가 출력되지만 ,
직접 해보면 알 수 있겠지만 이게 뭐 나중에 전부 복사해 메모장에서 본다면 몰라도
그냥 보기는 참 불가능하다 .

즉 , 쉽게 말해 시간 옵션을 넣을 경우 로그 분석은 가능하나 실시간으로 무엇인가
파악해 대응하기는 참 어렵단 말이 된다 .

물론 이러한 특징적인 단점들은 netstat 명령어 자체에 존재하는 것이다 .

 ▷. 참조 - 침입 탐지 프로그램 - Fport

앞의 chapter에서 계속 언급하기를 netstat로는 프로세스의 경로를 즉시 파악하기 어렵다고 했다 .
이런 단점을 보완할 수 있는 것이 바로 Fport란 침입탐지 프로그램이다 .

다운로드 링크 : 
http://www.foundstone.com/us/resources/proddesc/fport.htm

위 링크에서 다운로드를 클릭시 아래 링크로 이동하면
아래 링크의 맨 아래로 보이는 다운로드를 클릭하여 Fport를 다운로드 할 수 있다 .

http://www.foundstone.com/us/resources/termsofuse.asp?file=fport.zip

 
위 압축 파일에서 fport.exe를 풀어낸 후 ,
명령 프롬프트 상에서 fport.exe를 풀어놓은 폴더로 가서
실행하게 되면 외부와 연결된 프로세스의 
PID와 프로세스 명 , 그리고 해당 프로세스의 경로를 볼 수 있다 .

아래는 fport의 설명서이다 .

이 설명서는 인터넷침해사고대응지원센터(
http://www.krcert.or.kr/)에서 제공중인 것이다 .

참고 .

글벌레는 설명을 할려고 인터넷 익스플로러를 실행시키고 연결된 상태를 보여주면서 설명을 했다 .

그런데 실재로 해킹 또는 악성코드로 인한 정보 유출이 염려되는 경우라면
사용자가 아무 것도 실행하지 않은 상태에서 netstatfport를 실행 후 그 상태를 살펴야 한다 .

여기서 한마디만 더 한다면
예를 들어 방금전까지 인터넷하다 끄고 나서 금새 위 명령들 실행시
뭔가가(방금전까지 연결되었던 것들의 흔적들이) 쭈르르 뜨게 된다 ......
그런 경우라면 1분 , 2분은 지난 후 위 명령들 실행하고 살펴 보아야 할 것이다 .

 2 . TCPView

위에서 언급했지만 ,
시스템의 외부 연결 상태가 수상한 때 만약 netstat 명령어를 쓴다면 ,
우리는 연결된 프로세스가 어디 존재하는지 확인하려면 상당히 복잡한 과정를 거쳐야 한다 .

그러나 TCPView를 사용한다면 외부와 연결되어진 프로세스가
한방에 파악이 되니 ,
TCPView는 악성코드 감염의 파악을 위하여도 필수 불가결한 프로그램들중에 하나이기도 하다.

 참고
악성코드 감염을 백신을 통하지 않고 사용자 스스로 파악하기 위한 도구들중 삼총사라 할만한 것은
아래와 같다 .

1 .
 2009/10/17 - [프로그램 리뷰] - ProcessExplorer

2 . Autoruns
    글벌레의 Autoruns 관련 글 : : 2009/08/20 - [유용한 팁들] - 백신에 안잡히는 악성코드 잡아내는 법

3 . TCPView <클릭하면 TCPView 홈페이지로 새 창이 열려서 이동된다 .

위 표에서 3번을 클릭하면 TCPView 홈페이지로 방문 및 다운로드가 가능하다 .


편의상 파일을 올려 놓았지만 , 때때로 버전이 업데이트 되니 이 글이 써진 후 오래 지난 다음에
이 글을 보게된 사람은 위 표의 링크를 클릭해 TCPView 홈페이지에서 다운로드 받는 것이 좋을 것이다 .

우선 TCPView 홈페이지에 있는 내용을 아래 박스에 거의 그대로 번역을 해놓는다 .

TCPView 소개 

TCPView는 사용자의 로컬 주소와 원격 주소들 그리고 TCP연결 상태를 포함하여
사용자 시스템의 모든 TCP와 UDP의 종말점들을 상세하게 나열하는 윈도우용 프로그램이다 .
Windows Server 2008, Vista, NT, 2000 과 XP에서는 TCPView는 종말점에 연결된
프로세스의 명칭들도 보고해 준다 .  (註 윈도 7에서도 보여줄 것으로 사료됨.)

TCPView는 보다 많은 정보를 주고 보다 편리한
Netstat의 하위 구성 요소로서 윈도우에서 구동되는 프로그램이다 .

TCPView 다운로드는 (TCPView와 같은) 기능을 가진 command-line 버젼의 Tcpvcon을 포함하고 있다 .

TCPView는 Windows Server 2008/Vista/NT/2000/XP 그리고 Windows 98/Me에서 작동한다 .
Windows 95 Winsock 2 업데이트를 마이크로소프트로부터 다운받아 설치한다면
Windows 95에서도 TCPView를 사용할 수 있다 . 

TCPView 사용하기 

TCPView를 실행하면 TCPView는 도메인 명칭에 연결된 모든 IP address를 표시하여
모든 유효한 TCP 와 UDP의 종말점들을 열거한다 .
메뉴의 버튼을 이용하거나 메뉴 줄의 명령을 이용해 보여지는 명칭을 바꾸어 줄 수 있다 .
Windows XP의 시스템에서는 TCPView는 종말점에 연결된 프로세스명을 보여준다 . 

기본 설정으로 TCPView는 매(every)(second)마다 변화 사항을 보여주지만 ,
Options|Refresh Rate 메뉴를 이용해
변화 사항을 업데이트해주는 주기를 바꿀 수 있다 .

한 상태에서 다른 상태로 변화되는 종말점은 노란색으로 표시되고 ;
없어질 프로세스는 빨간색으로 표시되고 , 새로 생성되는 프로세스는 초록색으로 보여진다 .  

연결되어진 TCP/IP 접속(state가 ESTABLISHED로 표시된 것)을 File|Close Connections 메뉴를 택하여
끝낼 수 있고 , 또는 TCPView의 창에서 접속 표시되어 있는 것을 마우스로 택한후
마우스 오른쪽 버튼을 눌러서 뜨는 창에서 Close Connections을 택하여 연결을 끊을 수 있다 . 

TCPView가 보여준 결과를 File|Save 메뉴를 이용해 윈도우에 파일로서 저장할 수 있다 . 

Tcpvcon 사용법 

Tcpvcon 사용법은 Windows에 내장된 netstat와 비슷하다 : 

사용법 : tcpvcon [-a] [-c] [-n] [process name 또는 PID]

(시작> (모든)프로그램 > 보조프로그램 > 명령 프롬프트 창에서)
(또는 시작>실행>cmd라고 치고 엔터한 후 뜨는 창에서)  

-a
모든 종말점 보기(기본 설정은 연결되어 있는(ESTABLISHED) 종말점만 보기 ). 

-c
CSV로서 프린트 하기. 

-n
주소를 명칭으로 표시 않기.


위의 TCPView.zip를 다운로드 한 후 하나의 폴더에 압축을 해제 후 Tcpview.exe를 실행한다 .
압축 해제시 Tcpview.exe만 압축 풀어 놓아도 실행 되는데는 지장이 없다 .

첫 실행을 하면 아래와 같은 창이 뜨는데 Agree를 누르면 된다 .


첫 실행시 경우에 따라서 글자의 가독성이 상당히 떨어질 수 있는데
이 경우는
Options>Font...에서 글자 크기와 글꼴을 잘 지정해 주면 된다 .


실행된 메인창의 화면이다 .

위 그림을 보면 TCPView로 볼 수 있는 정보가

프로세스 | 프로토콜 | 로컬 주소 | 원격지 주소 | 연결상태란 것을 알 수 있다 .

참고로 언급하면 위 그림에서 빨간 박스친 시스템 요소들이 항상 떠 있는 것은 정상이다 .

예를 들어 그중에 svchost.exe를 더블 클릭해 본다면 아래처럼 파일 정보가 뜬다 .
(더블 클릭으로 파일 정보를 보는 것은 system과 [System Process]라고 표시된 것들 빼고 모두 가능하다 .
system[System Process]라고 표시된 것에서는 관심을 끄자 .)


위 그림의 빨간 박스친 부분처럼 시스템 파일이 정상 경로로 표시되고 있다면 ,
(해당 프로세스에 악성 툴이 라이브러리로써 인젝션될 수도 있다는 가능성은 일단 별론으로 하기로 한다 .
왜냐하면 이 부분은  TCPView나 방화벽에서 따질 수는 없는 문제이고 프로세스 익스플로러와
Autoruns로 따져봐야 하는 문제이기 때문이다 . - 아래 부언(附言) Chapter에서 논할 것이다 .) 
일단은 전혀 염려할 필요가 없다고 보면 된다 .

또 바로 앞에서도 언급 했지만
위 그림에서 녹색 박스친 [System Process]도 정상으로 간주한다 .

 참조 - 20101219일에 [System Process]:0에 대한 글이 업데이트 되었습니다 .
          [System Process]:0에 대한 보다 확장된 정보를 원하시면 아래 관련 글을 보시기 바랍니다 .
 관련 글 - 2010/12/19 - [Lecture/Computer] - TCPView - 아직 못다한 이야기

그러나 그럼에도 글을 읽는 사람들중에는 프로세스 명이 표시된 것은 그렇다고 쳐도
그럼 System이라고 표시된 것은 무엇이냐고 묻는 사람들이 있을 수도 있다 .

그런 사람들은 도데체 system이라고 써진 것이 무엇인지 몹시 궁금할 것이다 . 

그래서 아래 시스템의 정상 Port들을 몇 개 열거해 보았다. 

아래 포트나 아래 이름으로 표시되는 것은 정상 system연결로 간주하면 된다.
(system으로 표시된 것은 별로 신경 안써도 된다는 소리이다 .) 

TCP135 :  DCE endpoint resolution
TCP139 : NETBIOS Session Service
TCP445 : Microsoft-ds
TCP1836 , 1900 : MSN 메신저
UDP123 : Network Time Protocol
UDP137 : NETBIOS Name Service
UDP137 : NETBIOS Datagram Service
UDP445 : microsoft-ds
UDP1900 : MSN 메신저

이름으로 표시했을 때 microsoft-** , NETBIOS-**표시되는 system은 정상적인 것들이다 .


그런데 바로 위의 박스에서 보니 빨간 글씨로 이름으로 표시했을때란 표현이 나와서
메뉴 박스부터 살펴 보기로 한다 .


왼쪽부터 순서대로 보면
우선 디스크 모양은 현재 접속 상태를 텍스트로 저장하는 스위치이다 .
A는 선택하면 > 로컬 주소 및 원격지 주소를 수자(ip)로 표시한다 . 
      선택 해제하면 >내 시스템의 이름 및 원격 서버 명칭으로 표시한다 .
을 눕힌 것으로 보이는 것은 택하면> 현재 연결된 상태(established)인 것만 보여준다 .
                                         선택 해제하면 > 외부로 열린 모든 프로그램을 보여준다 .
마지막 것은 익숙한 아이콘일 것이다 ! 새로고침 .

참고적으로 언급한다면 순간적으로 의심이 들어 빠르게 관찰할 때는
연결된 상태만 키고 보는 것이 좋다 .

本 글 작성시 잡은 글벌레의 시스템 스크린 샷에는 이상한 프로세스가 뜨질 않았다 .
그래서 당시에는 사용하였던 사이트어드바이저를 악성코드라고 "가정"하고 한 번 예제를 보기로 한다 .


느낌이 이상해서 TCPView를 실행하자 위와 같이 수상한 파일이 인터넷에 연결되어 있다 .
(사실 위 그림에 보이는 프로세스는 사이트 어드바이저가 업데이트를 확인하는 프로세스이다 .
그런데 악성코드로 가정하기로 했다 ! )

그래서 해당 줄을 마우스로 택하고 마우스 오른쪽 버튼을 눌러서
위 그림에서 빨간 박스친 context menu를 띄웠다 .

context menu를 보면 해당 메뉴에서 프로세스 정보를 볼 수도 있고 , 프로세스를 끝낼 수도 있고
또는 연결을 끊을 수도 있다 .

만약 해당 연결의 원격 주소에 대한 정보를 원한다면 위 그림에서 마우스 커셔가 가리고 있는 ,
whois를 택해서 해당 종말점 정보를 볼 수도 있다 .

참고 : 위 그림에서 프로세스 명 뒤에 써진 수자는 PID이다 . (PID는 신경 안써도 된다 .)

         로컬 주소(ip) 또는 원격지 주소 뒤에 써진 수자는 포트 번호이다 . 
         (로컬 주소는 블라인드 처리함...)
         위 그림에서 원격지 주소의 뒤가 http로 표시된 것은
         메뉴에서 A에 빨간 X쳐지게 클릭해 놓으면(선택해제) 포트 80으로 표시된다 .



앞서도 언급했지만 whois를 택하면 위와 같이 해당 원격 주소(종말점)에 대한 정보 창이 뜬다 .

그런데 이 것은 적절치 않은 정보라며 안뜨는 경우가 꽤 많다 .
뜨지 않을 때는 재빨리 ip를 메모해 (또는 스크린 샷!)

http://ipwhois.nic.or.kr/

와 같은 사이트에서 확인해 보면 종말점 정보가 확인이 가능하다 .

아마 이 정도 설명했으면 여러분들께서 TCPView를 잘 이해하고 쓰리라 기대한다 .

다만 한가지 더 참고로 언급한다면
예를 들어 내가 다음에 접속하려고 인터넷 익스플로러(iexplorer.exe)를 실행을 했는데

다만 다음에 접속하려 했을 뿐인데 여러분은 아래 그림처럼
수도 없는 iexplorer.exe가 생성(초록색) 소멸(빨간색)되는 것을 보게될 것이다 .

그런데 이 것은 정상이다 .


왜 이런 현상이 나타는가 궁금한 사람들도 있을 것 같아 아래 설명을 해놓는다 .

웹에 접속시에 인터넷 익스플로의 메뉴줄에서 보기>상태 표시줄을 활성화하고 보면
어떤 사이트에 접속시 인터넷 익스플로러의 하단 상태 표시줄을 보면

어떤 페이지를 여는중이라고 하다가 "완료"가 표시되고
또 다른 페이지를 여는 것을 표시하다가 완료가 반복되고서야
하나의 웹 사이트가 완전히 다 표시되는 것을 볼 수 있을 것이다......
(이 것은 광고등을 띄우기 위한 것일 수도 있고 ......
어쨌든 같은 페이지에 표시는 되나 다른 서버로부터 불러오는 사항들을 띄우기 위한 과정이다 .) 

그래서 TCPView에 그렇게 생성/소멸이 반복되며 표시되는 것이다 .....

아래 참고로 위에 언급했던 상태(State)에 대하여 다시 한 번 간단히 언급해 놓는다 .

syn_sent : 원격지로 접속을 위한 신호를 보냈음을 의미 .
LISTENING : 접속을 위한 대기 상태 .
ESTABLISHED : 접속된 상태 .
LAST_ACK : 연결은 종료되고 승인을 기다리고 있는 상태 .

 3 . 부언 ( 附言 )

본문 중의 ▷. 참조 - 침입 탐지 프로그램 - Fport 채프터는
해당 프로그램을 활용하라고 올린 것은 아니다 .

이 글에서 모든 사항을 빠짐없이 설명하기 위하여 쓰여지고 ,
또 누군가 댓글로 Fport도 있는데 하면서 딴지 걸 경우를 방지하기 위하여 쓰여진 부분이다 !

얼마전 방송에도 등장하면서 화제가 되었던 
다른 시스템의 화면을 훔친다는 돋보기 바이러스같은 경우는 
글벌레 직접 접해보지 못했지만 , 그 기능상 프로세스로 존재할 것이다 .
이렇게 프로세스로 존재하면서 외부로 접속하는 악성코드는
이 글에서 제시한 방법들로 잡을 수가 있을 것이다 .

그러나 네이트온 악성코드들에서 흔한 후킹 툴들처럼 
프로세스들에 인젹션되는 경우에는
 ( 관련 글 : : 2010/03/28 - [Malwares 분석] - image.rar - 네이트온 악성코드 
                    위 글에서 프로세스 익스플로러를 활용한 예도 보는 것이 가능하다 .)
이 글에서 설명한 방법들로 찾기 무지 어렵다 .
그런 경우에는 프로세스 익스플로러같은 프로그램의 조력이 필요하다 .
관련 글 : : 2009/10/17 - [프로그램 리뷰] - ProcessExplorer


사람들이 해킹이라고 하면 누군가가 지속적으로 내 시스템을 감시하면서 지켜 보는 것이라고
여기는 경우가 많다 . 그러나 현재 시점에서 해킹이란 99.9%가 악성코드 감염으로 인한 정보 유출이다 .

 이 글과 관련되어 추가적으로 업데이트 된 글 -
2010/06/20 - [Lecture/Computer] - 인터넷 익스플로러는 TCP 80 포트로만 접속하나요 ?

저작자 표시 비영리 변경 금지
신고
 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. The Share Spirit 2011.11.10 02:35 신고  댓글주소  수정/삭제  댓글쓰기

    네트워크분야에 해박하신데다가 그 지식을 어떤 반대급부 없는 것에 대한 거부감없이, 그것도 쉽게 설명해서 나누는 것에 대해서 정말로 감사하네요. 항상 함께하는 지식선구자이기를 기원해 봅니다. 건필하세요. ^^

    • 글벌레 2011.11.10 17:35 신고  댓글주소  수정/삭제

      네트워크 분야는 사실 제가 잘 모르는 부분입니다 .

      이 글은 2004년부터인가의 제 경험을 바탕으로 썼을뿐이고요 ...
      그러나
      관심과 댓글과 응원은 너무나
      고맙습니다 !! ^ ^*

  3. 해킹피해자1 2011.11.24 02:35 신고  댓글주소  수정/삭제  댓글쓰기

    게임해킹을 당하고 해킹에대한 서핑결과 오게됬는데, 정말 유용한 정보인듯합니다.
    netstat로 본결과 tcp2670 nrt19s18-in-f13.1e100.net:http란 접속지가 있어 생소해 해킹인가 했는데 글을 읽어본결과 이건 아니였나싶은데여..

    tcpview로 봤을때 해킹을 당하고 잇다면 어떤 결과물이 출력되는지..
    예를들어 하나의 포트에 수차례 접근시도가 출력된다든지....보면 딱 해커의 침입인지 알수 있나요?
    (글은 1년이 넘어서 올라온글이지만 최근까지도 답글이 올라와서 질문글 남겨봅니다. 즐겨찾기해놓고 다른글들도 꼼꼼히 살펴봐야겠네요)

    • 글벌레 2011.11.27 09:28 신고  댓글주소  수정/삭제

      안녕하세요 ?

      딱 보고 아는 방법은 없습니다 .
      관찰을 하셔야죠 ....

      그런데 시스템이 의심스러울 때 가장 먼저 하실 일은
      믿을만한 백신으로 정밀 검사를 하는 겁니다 .

  4. 저기요 2011.11.26 02:28 신고  댓글주소  수정/삭제  댓글쓰기

    이거쳣더니 한 20개정도 나왔는데요
    메모장에 나가라고 신고하라고 쳤더니 몇개가 빠졌어 5개 남았내요
    그럼 15명이 해컨가요

  5. 저기요 2011.11.26 02:28 신고  댓글주소  수정/삭제  댓글쓰기

    이거쳣더니 한 20개정도 나왔는데요
    메모장에 나가라고 신고하라고 쳤더니 몇개가 빠졌어 5개 남았내요
    그럼 15명이 해컨가요

  6. ㅠㅠㅠㅠㅠㅠㅠㅠㅠ 2012.01.02 17:36 신고  댓글주소  수정/삭제  댓글쓰기

    ㅠㅠㅠㅠ글벌레님ㅠㅠㅠ감사합니다ㅠㅠ
    덕분에 살았어여ㅠㅠㅠㅠ 감사해여ㅠㅠ

  7. 비공개 2012.01.14 07:58 신고  댓글주소  수정/삭제  댓글쓰기

    정독했습니다. 감사합니다.
    정말로 근본적인 도움이 되었습니다.
    답변 채택하겠습니다.

  8. cry cry 2012.01.25 11:56 신고  댓글주소  수정/삭제  댓글쓰기

    너무 감사해요 최고최고! ㅜㅜ 이런분들 때문에 살만한거같습니다 세상을

  9. 잘보고갑니다. 2012.02.22 22:13 신고  댓글주소  수정/삭제  댓글쓰기

    ㅎㅎ 정말 감사드립니다..

    글벌레님같은 좋은 분이 계시기에
    저희 컴퓨터가 안전해지는 것 같네요!

  10. 질문드려요 ^^ 2012.03.18 05:02 신고  댓글주소  수정/삭제  댓글쓰기

    글 잘읽었습니다 , 근데 요 저도 tcp view 를 깔았는데요 거기에 state 에
    syn-sent 라고 나와 있으면 무조건 해킹 당한컴터라고 하던데 그럼 제껀 이 표시가 몇 개 있는데 해킹 당한건가요 ?
    strmnucnt 이거에도 저런 표시가 있길래 쳐보니 맘아이라고 하는 프로그램이던데
    사람들이 삭제하라길래 검색 찾기에 눌러서 삭제를 눌렀더니 삭제할 수 없다 하더라구요
    포멧을 해야 하는 건가요 ?
    워낙에 컴맹이라서요 .. ㅠㅠ

  11. 빨리빨리 2012.06.08 15:47 신고  댓글주소  수정/삭제  댓글쓰기


    쓰신 글 잘 읽었습니다 절대동감이고 ..

    수고하십쇼...

  12. 오오 2013.01.15 17:23 신고  댓글주소  수정/삭제  댓글쓰기

    아주 좋아요
    컴퓨터 보안에 딱 좋군요

  13. 간비 2013.04.23 22:42 신고  댓글주소  수정/삭제  댓글쓰기

    잘보고 갑니다~ ^^

  14. 간비 2013.04.23 22:42 신고  댓글주소  수정/삭제  댓글쓰기

    잘보고 갑니다~ ^^

  15. ! 2013.05.07 01:41 신고  댓글주소  수정/삭제  댓글쓰기

    유용한글 감사합니다
    근데 svchost 말고 svchsot 는 뭔가요 ?
    지워도 자꾸 뜨는데ㅠㅠ

  16. 두비두밥 2013.06.25 02:26 신고  댓글주소  수정/삭제  댓글쓰기

    이글을보면 결국 확인해도 정확하게는모른다.이고
    백신으로 치료하는수밖에없다.
    라는게글의맹점인가요?

  17. 나뭇잎 2013.11.08 19:29 신고  댓글주소  수정/삭제  댓글쓰기

    그런데 이건 뭔가요...
    UDP O.O.O.O:68 *:*
    UDP O.O.O.O:500 *:*
    UDP 0.0.0.0:2968 *:*


    ...안좋은건가요?

  18. lee 2014.04.11 15:57 신고  댓글주소  수정/삭제  댓글쓰기

    ㅠㅠ감사합니다 근데 처음 보는거라 너무 어렵네요 조금 더 읽어봐야할거같아요.

  19. eego 2014.05.20 22:59 신고  댓글주소  수정/삭제  댓글쓰기

    저기,,netstat -anb 쳤는데 요청한작업을 수행하려면 권한상승이 필요합니다라고 뜨는데 뭐죠???

  20. K.MAPA 2014.11.20 22:24 신고  댓글주소  수정/삭제  댓글쓰기

    저 해봣는데 심각하게 뜨네여
    ***.***.***.***.:80 ESTABLISHED라고 뜹니다.

    이게 대략 45개 쯤 뜹니다....
    머져. 해결법은 어떻게 해야할까여?포트가 80만 아니고 443도 뜨네요..
    443은 먼가요? ㅠㅠ 80은 지금 현재 내가 어택먹고이ㅆ는건가요?

    [님들 NETSTAT -anb쳐는대도 요청한작업을 수행하려면 권한상승이 필요합니다 해결법은
    CMD 관리자로 실행해주셔야 CMD명령어가 됩니다. 그나저나80,443어쩌지...대략43개 되는데...]

  21. 아놔 2014.12.07 17:04 신고  댓글주소  수정/삭제  댓글쓰기

    링크 걸어놔서 왔더니... 이글보라고 해서...
    아 짜증나게 같은 글을 복사해놓은 수준이그만,,
    본인글을 복사해놓고 이글을 보라고? 마치 더 진전된 내용이라도 있는 것처럼...
    아웃기sp



티스토리 툴바