자료 수집 및 분석

샘플 분석

cancelSafe

scanner

기존 제품 연구

모니터링 제품 확보

Process Monitor (Procmon) 프로세스 모니터는 Windows 운영체제의 파일 시스템과 레지스트리, 프로세스/쓰레드 동작을 실시간으로 모니터링할 수 있는 툴로, 기존 Sysinternals의 전작인 Filemon과 Regmon의 기능이 반영되었고, 세션 ID와 유저 이름, 가용가능한 프로세스 정보 및 각 명령에 대한 전체 쓰레드 스택 등 다양한 이벤트 속성을 바탕으로 강력한 필터링 리스트를 가지고 있다. Process Monitor는 멀웨어를 발견하는 툴킷으로는 유용한 시스템 유틸리티이다.

다음은 Process Monitor가 대상으로 하는 필터링 대상이다.

프로세스(애플리케이션) 세부정보

• 프로세스 이름 (Process Name)
• 이미지 경로 (Image Path)
• 명령인자 (Command Line)
• 제조사 (Company Name)
• 설명 (Description)
• 버전 (Version)
• 아키텍처 (Architecture)

이벤트 세부정보

• 순번 (Sequence Number)
• 이벤트 클래스 (Event Class)
• 명령 종류 (Operation)
• 날짜 및 시간 (Date & Time)
• 카테고리 (Category)
• 경로 (Path)
• 세부정보 (Detail) : 각 Iopb Parameters의 특수한 멤버에 대한 설명
• 결과값 (Result)
• 상대시간 (Relative Time)
• 동작시간 (Duration)
• 완료시간 (Completion Time)

프로세스 관리

• 사용자 이름 (User Name)
• 세션 ID (Session ID)
• 인증 ID (Authentication ID) : ??
• 프로세스 ID (Process ID)
• 쓰레드 ID (Thread ID)
• 부모 프로세스 ID (Parent PID)
• 무결성 (Integrity)
• 가상화 여부 (Virtualized)

행위 분석을 통한 통신 구조 유추

필터링 방법 연구