본문 바로가기
반응형

svchost4

Tasklist 다음 지식이나 네이버 지식iN에서 답변을 하다 보면 위 그림처럼 작업 관리자를 스크린샷으로 잡아서 이상한 프로세스 있나요? 각 프로세스 설명 좀 해 주세요라고 질문이 올라오는 경우가 있습니다. 그래도 위 그림처럼 올라온 경우는 양반이고요. 어떤 경우에는 작업 관리자를 늘리다 늘리다 늘려도 한 화면에 프로세스를 다 담아내지 못해 몇 개의 그림으로 올리는 경우도 있습니다 ㅠ ㅜ 그런데 그렇게 올려놓고 이상한 프로세스만 밝혀 달라는 것도 아니고 각 프로세스 설명도 좀 해 달라고 요구하는 경우도 보이죠.... ㅜ ㅠ 그런 경우 답변자는 정말 열폭(熱爆)하고 싶어집니다. 그러니 폭발하기 전에 그냥 콱 질문 창을 닫아 버리게 되죠. 그러다가 로그아웃도 안 한 채 창을 닫아 버려서 다시 브라우저 켜고 다시 로그인 후.. 2010. 2. 21.
svchost.exe 오늘은 자신이 Microsoft에서 제공한 파일이라고 속이면서 BITS 서비스를 이용해 무엇인가 빼돌리는 악성코드에 대하여 안내해 보고자 합니다. 본문에 앞서 본 포스트 작성에 이용된 도구들을 소개해 드리고 BITS 서비스에 대한 안내부터 드립니다. 본 포스트에서 이용된 악성코드의 행동을 관찰하는데 도움이 되는 도구들을 소개한 글벌레의 글들은 2009/10/17 - [프로그램 리뷰] - ProcessExplorer 2009/03/24 - [프로그램 리뷰] - RegFromApp 2009/05/08 - [프로그램 리뷰] - TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 ) 2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/C.. 2010. 2. 12.
svchost.exe 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. 악성 svchost.exe를 다운로드받게 되었는데 여러 사이트에서 뿌려질 수 있으리라 보여져 정리를 해 봅니다. 다운로드 받은 악성코드 파일 정보입니다. 아래 그림은 정상적인 svchost.exe의 정보입니다. 두 파일을 비교해 보면 위에 보이는 악성코드 파일은 프로그램 탭과 메모리 탭으로 볼 때, 도스용 프로그램임을 알 수 있습니다. 그리고 제공자의 정보도 없습니다. 아래 그림의 정상 svchost.exe는 그 파일 버젼에서 정상적인 XP SP2의 파일임이 유추되며 또 회사 - Microsoft라고 표시되어 있습니다. 위 악성코드인 svchost.exe이 실행되면 twext.exe이 system32에 생성됩니다. 그리고 .. 2009. 1. 31.
svchost.exe의 정상 경로 아래의 Tip은 Windows XP를 기준으로 서술한 것입니다. svchost.exe가 들어 있을 수 있는 정상 경로는 다음과 같습니다. ① \WINDOWS\$NtServicePackUninstall$ 위 폴더에는 이전 버젼의 svchost.exe가 들어 있습니다. 즉 , 현재 XP SP2사용중이시라면 XP SP1의 svchost.exe가 롤백의 경우를 대비해 들어 있습니다. ② C:\WINDOWS\system32 시스템 메모리에서 구동 중인 svchost.exe의 정상 경로로 현재 시스템에서 돌아가는 파일은 이것입니다. ③ C:\WINDOWS\ServicePackFiles\i386 현재 시스템에 돌아가는 것과 같은 파일이 이 곳에 백업되어 있다고 보면 됩니다 .특히 , 윈도우 CD가 없는 경우 또는 X.. 2009. 1. 31.
반응형