-
Notifications
You must be signed in to change notification settings - Fork 2
자료 수집 및 분석
June Young, You edited this page Mar 28, 2017
·
22 revisions
Windows 운영체제의 파일 시스템과 레지스트리, 프로세스/쓰레드 동작을 실시간으로 모니터링할 수 있는 툴로, 기존 Sysinternals의 전작인 Filemon과 Regmon의 기능이 반영되었고, 세션 ID와 유저 이름, 가용가능한 프로세스 정보 및 각 명령에 대한 전체 쓰레드 스택 등 다양한 이벤트 속성을 바탕으로 강력한 필터링 리스트를 가지고 있다. 멀웨어를 발견하는 툴킷으로 유용한 시스템 유틸리티.
다음은 Process Monitor가 대상으로 하는 필터링 대상이다.
| Subjects | Details | Mode |
|---|---|---|
| Process Name | Kernel | |
| Image Path | Kernel | |
| Command Line | Kernel | |
| Process (Application) Details | Company Name | Kernel |
| Description | Kernel | |
| Version | Kernel | |
| Architecture | Kernel | |
| 프로세스(애플리케이션) 세부정보 |
- 프로세스 이름 (Process Name)
- 이미지 경로 (Image Path)
- 명령인자 (Command Line)
- 제조사 (Company Name)
- 설명 (Description)
- 버전 (Version)
- 아키텍처 (Architecture)
이벤트 세부정보
- 순번 (Sequence Number)
- 이벤트 클래스 (Event Class)
- 명령 종류 (Operation)
- 날짜 및 시간 (Date & Time)
- 카테고리 (Category)
- 경로 (Path)
- 세부정보 (Detail) : 각 Iopb Parameters의 특수한 멤버에 대한 설명
- 결과값 (Result)
- 상대시간 (Relative Time)
- 동작시간 (Duration)
- 완료시간 (Completion Time)
프로세스 관리
- 사용자 이름 (User Name)
- 세션 ID (Session ID)
- 인증 ID (Authentication ID) : ??
- 프로세스 ID (Process ID)
- 쓰레드 ID (Thread ID)
- 부모 프로세스 ID (Parent PID)
- 무결성 (Integrity)
- 가상화 여부 (Virtualized)