---

출처: https://haerakai.tistory.com/17?category=482634

1. 준비 단계

---

악성코드를 실행하기 전에 현재 시스템의 상태를 저장하자.

• Autoruns 이용하기

  Autoruns는 시스템에서 자동으로 시작되는 시작프로그램들을 보여주고 관리하는 도구이다. Windows와 Microsoft에서 제공하는 시작 프로그램들은 보이지 않도록 Filter를 적용하고 저장하자. 'Compare' 기능을 제공한다.

  

• winlaysis(System Explorer) 이용하기

  Winalysis는 registry, services, scheduler, groups 등 여러 시스템 정보를 저장할 수 있는 도구이다. 다만 Windows XP에서만 동작한다.
  따라서 System Explorer를 이용해서 스냅샷을 저장하자!

  아래와 같이 스냅샷을 생성, 비교할 수 있는 기능을 지원한다.

  

2. 실시간 모니터링(준비)

• Process Explorer

  현재 동작 중인 모든 프로세스를 실시간으로 보여주고, 새로 실행되거나 종료되는 프로세스도 보여줌.

  

• Process Monitor

  시스템에서 File의 변화(추가, 삭제)를 실시간으로 모니터링하는 도구이다. Registry의 변화 역시 실시간으로 모니터해주며, 시간별로 로그가 계속해서 기록된다.

  

• Tcp View

  현재 동작하고 있는 프로세스 중에서 네트워크 동작을 행하는 프로세스들의 상태를 실시간으로 보여주는 도구이다.

  

• Wireshark

  설명 생략.

3. 실습

---

Process Explorer와 TcpView 는 실시간으로 변하기 때문에 우선적으로 지켜볼 것.

악성 프로그램을 실행한 뒤, Process Explorer에서 새로운 프로세스가 생성되는지를 확인한다.

이후에는 Tcpview에서 해당 프로세스가 인터넷 접속을 하는지를 살펴본다.

Wireshark를 통해 해당 프로세스가 어떤 동작을 하였는지 상세히 분석한다.

Winalysis(System Explorer)를 통해 파일 시스템에는 어떤 변화가 있었는지를 파악한다.

Autoruns를 통해 시작프로그램에는 어떤 변화가 있었는지를 파악한다.

Process Monitor 에서는 Filter를 적용하여 해당 프로세스의 동작을 확인한다. 프로세스 이름, 신뢰할 수 있는 회사의 제품 등등으로 Filter를 설정할 수 있다.