본문 바로가기

svchost.exe5

Process Explorer (프로세스 익스플로러) 이 글은 2023년 1월 26일 목요일에 최종 수정되었습니다. 이 글은 2009년 10월 17일에 발행했던 것을 2011년 2월 18일 금요일에 재발행한 겁니다. 프로세스 익스플로러는 시스템의 현재 상태를 가장 간단하면서 명확하게 체크할 수 있는 도구입니다. 강력한 시스템 모니터링 도구이지만 이 도구에 처음 접근하는 사용자들을 위한 친절한 가이드는 그 누구도 제시하지 않았던 것으로 보입니다. 그래서 오늘 제가 그 부분을 제시해 보고자 합니다. 글은 가능한 최대로 간단하게 쓰여질 겁니다. 이 도구와 친해져서 시스템 관리에 있어서 고급 사용자들가 되어 보기 바랍니다. 최대한 간단하게 쓰는 데도 글은 좀 길 겁니다. 그만큼 프로세스 익스플로러는 설명할 게 많은, 활용도가 높은 강력한 도구인데 저는 초보 사용자.. 2011. 2. 18.

svchost.exe 오늘은 자신이 Microsoft에서 제공한 파일이라고 속이면서 BITS 서비스를 이용해 무엇인가 빼돌리는 악성코드에 대하여 안내해 보고자 합니다. 본문에 앞서 본 포스트 작성에 이용된 도구들을 소개해 드리고 BITS 서비스에 대한 안내부터 드립니다. 본 포스트에서 이용된 악성코드의 행동을 관찰하는데 도움이 되는 도구들을 소개한 글벌레의 글들은 2009/10/17 - [프로그램 리뷰] - ProcessExplorer 2009/03/24 - [프로그램 리뷰] - RegFromApp 2009/05/08 - [프로그램 리뷰] - TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 ) 2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/C.. 2010. 2. 12.

load.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다 . load.exe 의 파일 정보 load.exe File size: 26112 bytes MD5...: 1ceed35235c14d6510e5cb5e6ed4319a load.exe 의 바이러스토탈 검사 결과 검사 파일: load.exe 전송 시각: 2009.02.15 09:09:35 (CET) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.15 Trojan-Dropper.Win32.Emold!IK AhnLab-V3 5.0.0.2 2009.02.14 - AntiVir 7.9.0.79 2009.02.13 - Authentium 5.1.0.4 2009.02.14 - Avast 4.8... 2009. 2. 15.

svchost.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. 악성 svchost.exe를 다운로드받게 되었는데 여러 사이트에서 뿌려질 수 있으리라 보여져 정리를 해 봅니다. 다운로드 받은 악성코드 파일 정보입니다. 아래 그림은 정상적인 svchost.exe의 정보입니다. 두 파일을 비교해 보면 위에 보이는 악성코드 파일은 프로그램 탭과 메모리 탭으로 볼 때, 도스용 프로그램임을 알 수 있습니다. 그리고 제공자의 정보도 없습니다. 아래 그림의 정상 svchost.exe는 그 파일 버젼에서 정상적인 XP SP2의 파일임이 유추되며 또 회사 - Microsoft라고 표시되어 있습니다. 위 악성코드인 svchost.exe이 실행되면 twext.exe이 system32에 생성됩니다. 그리고 .. 2009. 1. 31.

svchost.exe의 정상 경로 아래의 Tip은 Windows XP를 기준으로 서술한 것입니다. svchost.exe가 들어 있을 수 있는 정상 경로는 다음과 같습니다. ① \WINDOWS\$NtServicePackUninstall$ 위 폴더에는 이전 버젼의 svchost.exe가 들어 있습니다. 즉 , 현재 XP SP2사용중이시라면 XP SP1의 svchost.exe가 롤백의 경우를 대비해 들어 있습니다. ② C:\WINDOWS\system32 시스템 메모리에서 구동 중인 svchost.exe의 정상 경로로 현재 시스템에서 돌아가는 파일은 이것입니다. ③ C:\WINDOWS\ServicePackFiles\i386 현재 시스템에 돌아가는 것과 같은 파일이 이 곳에 백업되어 있다고 보면 됩니다 .특히 , 윈도우 CD가 없는 경우 또는 X.. 2009. 1. 31.

이전 1 다음

티스토리툴바