Chapter 2. 프로세스 분석
윈도우 주요 프로세스
lass.exe-Local Security Authority Subsystem Services – 보안 정책 적용을 담당하고 있는 프로세스 – 비밀번호 변경, accesstokens 생성, 사용자 인증 등을 담당 – 악성코드가 자주 사용하는 이름 중 하나, 많이 사용 – 기본 경로는 C:window system32
Anomalies 악성 프로세스와 의심해야 할 사항 – 실제 이미지의 경로가 %systemroot% system32가 아닌 경우 -자 process를 가지고 있는 경우 -프로세스 시작 시간이 시스템 부팅 시간과 동떨어진 경우 -CPU 점유율이 지나치게 높은 경우 -lass.exe는 강제로 종료 시 시스템이 종료된다.
svchost.exe 프로세스의 목적 및 기능
- Servicehost – 동적 라이브러리(DLL)에서 실행되는 Windows의 각종 서비스 제어 – Windows 부팅 시 레지스트리의 서비스 부분을 검사 – 로드해야 할 서비스 대상, 위치, 시작 방법 파악 – 실행 파일 경로 C : window system 32
- Anomalies 악성 프로세스에서 의심해야 할 사항
- – Windows 서비스와 관련이 없는 경우 – 부모 프로세스가 service.exe가 아닌 경우 – 이미지 파일의 위치가 %systemroot% system32가 아닌 경우 – 비슷한 이름으로 위장한 경우(scvhost.exe, svchosts.exe 등)
- csrss.exe
- – ClientServerRuntimeprocess-sms.exe에 로드 – 각각의 프로그램이 win32apI를 호출할 때 운영 체제의 커널이 응답하도록 중계 – 프로세스 및 스레드 생성 및 삭제 – Windows 콘솔에서 명령을 호출할 수 있도록 함 – 실행 파일 경로 C:window system32 – 부모 프로세스 sms.exe
smss.exe
- Session Manger Subsystem – 동적 라이브러리(DLL)에서 실행되는 Windows의 각종 서비스 제어 – Windows 부팅 시 레지스트리의 서비스 부분 검사 – 로드해야 할 서비스 대상, 위치, 시작 방법 파악 – 실행 파일 경로 C : window system 32
- Anomalies – 부모 프로세스가 시스템 프로세스(PID 4)가 아닌 경우 – 자녀 프로세스가 winlogon.exe가 아닌 경우 – 일반 사용자 프로세스보다 PID가 높은 숫자를 가진 경우 – 실행 파일의 경로가 %system32가 아닌 경우
- services.exe
- – ServiceControlManger – 서비스 콘솔 내의 프로세스를 실행하거나 종료 – 부팅 시 또는 사용자가 요구할 때 각종 드라이버와 서비스 로드 – 현재 실행 중인 서비스와 드라이버 정보 및 상태 유지 – 유지된 정보를 통해 다른 서비스와 사용자의 요구에 응답 – 실행 파일의 경로 C:window system32 – 부모 프로세스 winlogon.exe
- winlogon.exe
- – wininit.exe와 같이 실행되고 wininit.exe가 lass.exe와 service.exe를 함께 실행시킨다 – Windows 로그온 화면에서 SAS 키 조합 담당 – SAS(SecureAttention Sequence)는 로그인 화면을 표시하는 특별한 키 조합 – 계정 ID와 비밀번호 일치 여부를 파악 – 로그온이 이루어지면 사용자 프로필 및 환경설정 로드 – 화면 보호기가 작동할 때 PC를 잠그는 것을 담당 – 실행 파일의 경로 C:winit.exe-친프로세스
- userinit.exe – 부팅 후 시작 버튼 및 트레이, 작업 표시등 등을 로드 – Windows 사용자 셸인 explorer.exe 호출 – 위의 작업이 끝나면 자동으로 바로 종료 – 실행 파일 경로 C : window system32
- Anomalies – 시스템 부팅 후 어느 정도 시간이 지나도 남아있는 경우 – 실행 파일의 경로가 %systemroot% sytem32가 아닌 경우