자료 수집 및 분석

샘플 분석

cancelSafe

scanner

기존 제품 연구

Process Monitor (Procmon)

멀웨어를 발견하는 툴킷으로 유용한 시스템 유틸리티.

Windows 운영체제의 파일 시스템과 레지스트리, 프로세스/쓰레드 동작을 실시간으로 모니터링할 수 있는 툴로, 기존 Sysinternals의 전작인 Filemon과 Regmon의 기능이 반영되었고, 세션 ID와 유저 이름, 가용가능한 프로세스 정보 및 각 명령에 대한 전체 쓰레드 스택 등 다양한 이벤트 속성을 바탕으로 강력한 필터링 리스트를 가지고 있다.

필터링 이벤트 속성

다음 표는 Mini-filter 인스턴스와 유저 애플리케이션과의 통신 버퍼를 정의한다. (Process Monitor가 대상으로 하는 필터링 이벤트 속성을 바탕)

Subjects	Details	Mode	Data Type (Only Kernel)
Process (Application) Details	Image Path (Sub : ProcessName)	Kernel	WCHAR[260]
Process (Application) Details	Command Line	Kernel	WCHAR[256]
Process (Application) Details	Company Name	User
Process (Application) Details	Description	User
Process (Application) Details	Version	User
Process (Application) Details	Architecture	User
Event Details	Sequence Number	User
Event Details	Event Class	Kernel	UCHAR
Event Details	Operation	Kernel	UCHAR
Event Details	Date & Time	User
Event Details	Category	Kernel
Event Details	Path	Kernel	WCHAR[260]
Event Details	Detail	Kernel	WCHAR[1024]
Event Details	Result	Kernel	ULONG
Event Details	Relative Time	Kernel
Event Details	Duration	Kernel
Event Details	Completion Time	Kernel
Process Management	User Name	User
Process Management	Session ID	User
Process Management	Authentication ID	User
Process Management	Process ID	Kernel	ULONG
Process Management	Thread ID	Kernel	ULONG
Process Management	Parent Process ID	Kernel	ULONG
Process Management	Integrity	User
Process Management	Virtualized	User

행위 분석을 통한 통신 구조 유추

필터링 방법 연구