-
Notifications
You must be signed in to change notification settings - Fork 2
자료 수집 및 분석
June Young, You edited this page Mar 28, 2017
·
22 revisions
멀웨어를 발견하는 툴킷으로 유용한 시스템 유틸리티.
Windows 운영체제의 파일 시스템과 레지스트리, 프로세스/쓰레드 동작을 실시간으로 모니터링할 수 있는 툴로, 기존 Sysinternals의 전작인 Filemon과 Regmon의 기능이 반영되었고, 세션 ID와 유저 이름, 가용가능한 프로세스 정보 및 각 명령에 대한 전체 쓰레드 스택 등 다양한 이벤트 속성을 바탕으로 강력한 필터링 리스트를 가지고 있다.
다음 표는 Mini-filter 인스턴스와 유저 애플리케이션과의 통신 버퍼를 정의한다. (Process Monitor가 대상으로 하는 필터링 이벤트 속성을 바탕)
| Subjects | Details | Mode | Type (Only Kernel) |
|---|---|---|---|
| Process Details | Image Path (Process Name) | Kernel | WCHAR[260] |
| Process Details | Command Line | Kernel | WCHAR[256] |
| Process Details | Company Name | User | |
| Process Details | Description | User | |
| Process Details | Version | User | |
| Process Details | Architecture | User | |
| Event Details | Sequence Number | User | |
| Event Details | Event Class | Kernel | UCHAR |
| Event Details | Operation | Kernel | UCHAR |
| Event Details | Date & Time | User | |
| Event Details | Category | Kernel | |
| Event Details | Path | Kernel | WCHAR[260] |
| Event Details | Detail | Kernel | CHAR[1024] |
| Event Details | Result | Kernel | ULONG |
| Event Details | Relative Time | Kernel | |
| Event Details | Duration | Kernel | |
| Event Details | Completion Time | Kernel | |
| Process Management | User Name | User | |
| Process Management | Session ID | Kernel | ULONG |
| Process Management | Authentication ID | User | |
| Process Management | Process ID | Kernel | ULONG |
| Process Management | Thread ID | Kernel | ULONG |
| Process Management | Parent Process ID | Kernel | ULONG |
| Process Management | Integrity | User | |
| Process Management | Virtualized | User |