본문 바로가기
반응형

Generic Host Process2

svchost.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. 악성 svchost.exe를 다운로드받게 되었는데 여러 사이트에서 뿌려질 수 있으리라 보여져 정리를 해 봅니다. 다운로드 받은 악성코드 파일 정보입니다. 아래 그림은 정상적인 svchost.exe의 정보입니다. 두 파일을 비교해 보면 위에 보이는 악성코드 파일은 프로그램 탭과 메모리 탭으로 볼 때, 도스용 프로그램임을 알 수 있습니다. 그리고 제공자의 정보도 없습니다. 아래 그림의 정상 svchost.exe는 그 파일 버젼에서 정상적인 XP SP2의 파일임이 유추되며 또 회사 - Microsoft라고 표시되어 있습니다. 위 악성코드인 svchost.exe이 실행되면 twext.exe이 system32에 생성됩니다. 그리고 .. 2009. 1. 31.
svchost.exe의 정상 경로 아래의 Tip은 Windows XP를 기준으로 서술한 것입니다. svchost.exe가 들어 있을 수 있는 정상 경로는 다음과 같습니다. ① \WINDOWS\$NtServicePackUninstall$ 위 폴더에는 이전 버젼의 svchost.exe가 들어 있습니다. 즉 , 현재 XP SP2사용중이시라면 XP SP1의 svchost.exe가 롤백의 경우를 대비해 들어 있습니다. ② C:\WINDOWS\system32 시스템 메모리에서 구동 중인 svchost.exe의 정상 경로로 현재 시스템에서 돌아가는 파일은 이것입니다. ③ C:\WINDOWS\ServicePackFiles\i386 현재 시스템에 돌아가는 것과 같은 파일이 이 곳에 백업되어 있다고 보면 됩니다 .특히 , 윈도우 CD가 없는 경우 또는 X.. 2009. 1. 31.
반응형