-
Notifications
You must be signed in to change notification settings - Fork 2
자료 수집 및 분석
June Young, You edited this page Mar 28, 2017
·
22 revisions
멀웨어를 발견하는 툴킷으로 유용한 시스템 유틸리티.
Windows 운영체제의 파일 시스템과 레지스트리, 프로세스/쓰레드 동작을 실시간으로 모니터링할 수 있는 툴로, 기존 Sysinternals의 전작인 Filemon과 Regmon의 기능이 반영되었고, 세션 ID와 유저 이름, 가용가능한 프로세스 정보 및 각 명령에 대한 전체 쓰레드 스택 등 다양한 이벤트 속성을 바탕으로 강력한 필터링 리스트를 가지고 있다.
다음은 Process Monitor가 대상으로 하는 필터링 이벤트 속성을 바탕으로 제작한 Mini-filter 인스턴스와 유저 애플리케이션과의 통신 버퍼를 정의한다.
Subjects | Details | Mode |
---|---|---|
Process (Application) Details | Process Name | Kernel |
Process (Application) Details | Image Path | Kernel |
Process (Application) Details | Command Line | Kernel |
Process (Application) Details | Company Name | User |
Process (Application) Details | Description | User |
Process (Application) Details | Version | User |
Process (Application) Details | Architecture | User |
Event Details | Sequence Number | User |
Event Details | Event Class | Kernel |
Event Details | Operation | Kernel |
Event Details | Date & Time | User |
Event Details | Category | Kernel |
Event Details | Path | Kernel |
Event Details | Detail | Kernel |
Event Details | Result | Kernel |
Event Details | Relative Time | Kernel |
Event Details | Duration | Kernel |
Event Details | Completion Time | Kernel |
Process Management | User Name | User |
Process Management | Session ID | User |
Process Management | Authentication ID | User |
Process Management | Process ID | Kernel |
Process Management | Thread ID | Kernel |
Process Management | Parent Process ID | Kernel |
Process Management | Integrity | User |
Process Management | Virtualized | User |