Skip to content

자료 수집 및 분석

June Young, You edited this page Mar 28, 2017 · 22 revisions

샘플 분석

cancelSafe

scanner

기존 제품 연구

Process Monitor (Procmon)

멀웨어를 발견하는 툴킷으로 유용한 시스템 유틸리티.

Windows 운영체제의 파일 시스템과 레지스트리, 프로세스/쓰레드 동작을 실시간으로 모니터링할 수 있는 툴로, 기존 Sysinternals의 전작인 Filemon과 Regmon의 기능이 반영되었고, 세션 ID와 유저 이름, 가용가능한 프로세스 정보 및 각 명령에 대한 전체 쓰레드 스택 등 다양한 이벤트 속성을 바탕으로 강력한 필터링 리스트를 가지고 있다.

필터링 이벤트 속성

다음 표는 Mini-filter 인스턴스와 유저 애플리케이션과의 통신 버퍼를 정의한다. (Process Monitor가 대상으로 하는 필터링 이벤트 속성을 바탕)

Subjects Details Mode
Process (Application) Details Process Name Kernel
Process (Application) Details Image Path Kernel
Process (Application) Details Command Line Kernel
Process (Application) Details Company Name User
Process (Application) Details Description User
Process (Application) Details Version User
Process (Application) Details Architecture User
Event Details Sequence Number User
Event Details Event Class Kernel
Event Details Operation Kernel
Event Details Date & Time User
Event Details Category Kernel
Event Details Path Kernel
Event Details Detail Kernel
Event Details Result Kernel
Event Details Relative Time Kernel
Event Details Duration Kernel
Event Details Completion Time Kernel
Process Management User Name User
Process Management Session ID User
Process Management Authentication ID User
Process Management Process ID Kernel
Process Management Thread ID Kernel
Process Management Parent Process ID Kernel
Process Management Integrity User
Process Management Virtualized User

행위 분석을 통한 통신 구조 유추

필터링 방법 연구

Clone this wiki locally