프로세스 모니터 이해
오늘 긱 스쿨 (Geek School)의 이번 호에서는 Process Monitor 유틸리티를 사용하여 실제 상황을 살펴보고 좋아하는 응용 프로그램이 실제로 무엇을하고 있는지, 즉 어떤 파일에 액세스하고 있는지, 레지스트리 키를보고 있는지, 사용 등.
학교 이동- SysInternals 도구 란 무엇이며 어떻게 사용합니까??
- 프로세스 탐색기 이해
- 프로세스 탐색기를 사용하여 문제 해결 및 진단
- 프로세스 모니터 이해
- 프로세스 모니터를 사용하여 레지스트리 해킹 문제를 해결하고 찾기
- 자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기
- BgInfo를 사용하여 데스크탑에 시스템 정보 표시
- PsTools를 사용하여 명령 줄에서 다른 PC 제어
- 파일, 폴더 및 드라이브 분석 및 관리
- 함께 포장하고 사용하기
처리 탐색기 유틸리티는 며칠을 다루었지만 프로세스 모니터는 프로세스를 종료하거나 핸들을 닫을 수있는 활성 도구가 아니라 컴퓨터에서 발생하는 모든 것을 수동적으로 보여줍니다. 이것은 Windows PC에서 발생하는 모든 단일 이벤트에 대한 글로벌 로그 파일을 들여다 보는 것과 같습니다..
원하는 레지스트리 키가 실제로 설정을 저장하고있는 레지스트리 키를 알고 싶습니까? 서비스가 접촉하는 파일과 빈도를 파악하고 싶습니까? 애플리케이션이 네트워크에 연결하거나 새로운 프로세스를 열 때를보고 싶습니까? 구조 모니터.
우리는 더 이상 많은 레지스트리 해킹 기사를 작성하지 않지만, 처음 시작했을 때 Process Monitor를 사용하여 어떤 레지스트리 키가 액세스되고 있는지 파악한 다음 그 레지스트리 키를 조정하여 어떤 일이 발생하는지 확인했습니다. 어떤 괴짜가 아무도 본 적이없는 레지스트리 해킹을 알아 낸 방법에 대해 궁금해했다면 아마 Process Monitor.
프로세스 모니터 유틸리티는 이름이 암시 하듯이 파일 및 레지스트리 활동을 모니터하는 데 사용 된 두 가지 구식 유틸리티, Filemon 및 Regmon을 결합하여 작성되었습니다. 이러한 유틸리티는 여전히 사용할 수 있지만 사용자의 특정 요구에 맞을 수도 있지만 Process Monitor를 사용하면 훨씬 많은 이벤트를 처리 할 수 있으므로 프로세스 모니터링이 훨씬 편리합니다..
프로세스 모니터는 모든 이벤트를 캡처하기 위해 커널 드라이버를로드하기 때문에 항상 관리자 모드가 필요하다는 점도 유의해야합니다. Windows Vista 이상에서는 UAC 대화 상자가 표시되지만 XP 또는 2003의 경우 사용하는 계정에 관리자 권한이 있는지 확인해야합니다.
프로세스 모니터 캡처 이벤트
프로세스 모니터는 많은 양의 데이터를 캡처하지만 PC에서 일어나는 모든 일은 캡처하지 않습니다. 예를 들어 프로세스 모니터는 마우스를 움직이게해도 상관 없으며 드라이버가 최적의 상태로 작동하는지 여부를 알지 못합니다. 프로세스가 열리고 컴퓨터에 CPU가 낭비되는 것을 추적하지 않습니다. 프로세스 탐색기의 작업입니다..
파일 시스템, 레지스트리 또는 네트워크를 거쳐 발생하는 특정 유형의 I / O (입력 / 출력) 작업을 캡처합니다. 추가로 몇 가지 이벤트를 제한된 방식으로 추적합니다. 이 목록은 캡처 한 이벤트를 다룹니다.
- 기재 - 키 작성, 읽기, 삭제 또는 쿼리가 될 수 있습니다. 이런 일이 얼마나 빈번히 일어나는지 놀랄 것입니다..
- 파일 시스템 - 이것은 파일 생성, 쓰기, 삭제 등이 될 수 있으며 로컬 하드 드라이브와 네트워크 드라이브 모두에 해당 될 수 있습니다.
- 회로망 - 이것은 TCP / UDP 트래픽의 소스와 목적지를 보여줄 것입니다.하지만 안타깝게도 데이터가 표시되지 않으므로 조금 유용하지 않습니다..
- 방법 - 이것은 프로세스가 시작되고 스레드가 시작되거나 종료되는 프로세스와 스레드에 대한 이벤트입니다. 이는 특정 인스턴스에서 유용한 정보 일 수 있지만 대신 Process Explorer에서보고 싶은 내용입니다.
- 프로파일 링 - 이러한 이벤트는 Process Monitor에서 캡처하여 각 프로세스에서 사용하는 프로세서 시간 및 메모리 사용량을 확인합니다. 다시 한 번 말하지만, 프로세스 탐색기를 사용하여 대부분 이러한 시간을 추적하고 싶지만 필요할 경우 여기에서 유용합니다.
따라서 프로세스 모니터는 레지스트리, 파일 시스템 또는 네트워크를 통해 일어날 지 여부와 상관없이 모든 유형의 I / O 작업을 캡처 할 수 있습니다. 실제로 쓰여지는 데이터는 캡처되지 않습니다. 우리는 프로세스가 이러한 스트림 중 하나에 쓰고 있다는 사실을보고 있습니다. 그래서 우리는 나중에 일어나는 일에 대해 더 많은 것을 알 수 있습니다..
프로세스 모니터 인터페이스
Process Monitor 인터페이스를 처음로드하면 방대한 양의 데이터 행이 표시되어 더 많은 데이터가 신속하게 전송되며 압도적 일 수 있습니다. 열쇠는 최소한 당신이 찾고있는 것과 당신이 찾고있는 것에 대해 어떤 생각을 가지고 있어야합니다. 이것은 매우 짧은 시간 내에 수백만 행을 볼 수 있기 때문에 편안한 하루를 탐색하는 데 사용하는 도구 유형이 아닙니다..
가장 먼저해야 할 일은 수백만 행을보고 싶은 데이터의 훨씬 작은 부분으로 필터링하는 것입니다. 필터를 만들고 정확하게 원하는 부분을 0으로 만드는 방법을 알려 드리겠습니다. . 하지만 먼저 인터페이스를 이해하고 실제로 사용할 수있는 데이터를 이해해야합니다..
기본 열보기
기본 열은 많은 유용한 정보를 보여 주지만, 실제 상황에서 항상 발생하는 무고한 사건 일 때 나쁜 일이 생길 수 있기 때문에 각 상황에 실제로 포함 된 데이터를 이해하는 데 필요한 상황이 필요합니다. 후드. 다음은 각 기본 열이 사용되는 방식입니다.
- 시각 - 이 열은 매우 자명하며 이벤트가 발생한 정확한 시간을 보여줍니다..
- 프로세스 이름 - 이벤트를 생성 한 프로세스의 이름. 이것은 기본적으로 파일의 전체 경로를 표시하지 않지만 필드 위로 마우스를 가져 가면 정확히 어떤 프로세스인지 확인할 수 있습니다.
- PID - 이벤트를 생성 한 프로세스의 프로세스 ID 이벤트를 생성 한 svchost.exe 프로세스를 이해하려는 경우 매우 유용합니다. 또한 프로세스가 다시 실행되지 않는다고 가정 할 때 모니터링을 위해 단일 프로세스를 격리하는 좋은 방법입니다.
- 조작 - 이것은 기록되는 작업의 이름이며 이벤트 유형 (레지스트리, 파일, 네트워크, 프로세스) 중 하나와 일치하는 아이콘이 있습니다. RegQueryKey 또는 WriteFile과 같이 약간 혼란 스러울 수 있지만 혼란을 피하기 위해 노력하겠습니다..
- 통로 - 이것은 프로세스의 경로가 아니며,이 이벤트에 의해 작업되고있는 모든 경로입니다. 예를 들어, WriteFile 이벤트가있는 경우이 필드는 터치 된 파일 또는 폴더의 이름을 표시합니다. 이것이 레지스트리 이벤트 인 경우 전체 키가 액세스 된 것으로 표시됩니다.
- 결과 - 이 결과는 SUCCESS 또는 ACCESS DENIED와 같은 조작 결과를 표시합니다. BUFFER TOO SMALL이 실제로 일어난 일이 잘못되었다는 것을 자동으로 추측하려는 유혹을받을 수도 있지만 실제로는 대부분 그렇지 않습니다..
- 세부 묘사 - 자주 정기적 인 괴짜 문제 해결 세계로 번역되지 않는 추가 정보.
옵션 -> 컬럼 선택으로 이동하여 기본 디스플레이에 몇 개의 추가 컬럼을 추가 할 수도 있습니다. 이것은 테스트를 시작할 때 우리의 첫 번째 중지에 대한 권장 사항이 아니지만 열을 설명하기 때문에 이미 언급할만한 가치가 있습니다..
디스플레이에 추가 열을 추가하는 이유 중 하나는 데이터에 압도 당하지 않고 이러한 이벤트별로 빠르게 필터링 할 수 있기 때문입니다. 여기에 우리가 사용하는 몇 가지 추가 열이 있지만 상황에 따라 목록의 다른 열을 찾을 수 있습니다..
- 명령 행 - 모든 이벤트를 두 번 클릭하여 각 이벤트를 생성 한 프로세스의 명령 줄 인수를 볼 수는 있지만 모든 옵션을 한 눈에 볼 수 있으면 유용 할 수 있습니다.
- 회사 이름 - 이 열이 유용하다는 주된 이유는 모든 Microsoft 이벤트를 신속하게 제외하고 Windows의 일부가 아닌 다른 모든 항목으로 모니터링 범위를 좁힐 수 있기 때문입니다. (프로세스 탐색기를 사용하여 실행중인 이상한 rundll32.exe 프로세스는 맬웨어를 숨길 수 있으므로 확신 할 수는 없습니다.).
- 부모 PID - 이것은 웹 브라우저 나 스케치를 다른 프로세스로 시작하는 응용 프로그램과 같이 많은 하위 프로세스가 포함 된 프로세스의 문제를 해결할 때 매우 유용합니다. 그런 다음 상위 PID를 기준으로 필터링하여 모든 항목을 캡처 할 수 있습니다..
열이 보이지 않아도 열 데이터로 필터링 할 수는 있지만 수동으로 수행하는 것보다 마우스 오른쪽 버튼으로 클릭하고 필터링하는 것이 훨씬 쉽습니다. 그리고 네, 아직 설명하지는 않았지만 필터를 다시 언급했습니다..
단일 이벤트 검사
목록에있는 항목을 보는 것은 많은 데이터 포인트를 한꺼번에 빠르게 볼 수있는 좋은 방법이지만 데이터의 단일 부분을 검사하는 가장 쉬운 방법은 아니며 사용자가 볼 수있는 정보가 너무 많습니다. 명부. 고맙게도 이벤트를 두 번 클릭하면 보물 정보에 액세스 할 수 있습니다..
기본 이벤트 탭은 목록에서 본 것과 거의 유사한 정보를 제공하지만 파티에 조금 더 많은 정보를 추가합니다. 파일 시스템 이벤트를보고있는 경우, 속성, 파일 작성 시간, 쓰기 조작 중에 시도 된 액세스, 기록 된 바이트 수 및 지속 기간과 같은 특정 정보를 볼 수 있습니다.
프로세스 탭으로 전환하면 이벤트를 생성 한 프로세스에 대한 많은 훌륭한 정보를 얻을 수 있습니다. 일반적으로 프로세스 탐색기를 사용하여 프로세스를 처리하기를 원하지만 특정 이벤트를 생성 한 특정 프로세스에 대한 많은 정보를 갖는 것이 매우 유용 할 수 있습니다. 특히 매우 빠르게 발생한 다음 프로세스 목록. 이렇게하면 데이터가 캡처됩니다..
스택 탭은 때로는 매우 유용하지만 종종 유용하지는 않습니다. 왜 스택을보고 싶은지에 대한 이유는 모듈 열을 검사하여 문제가 해결 될 수 있습니다..
예를 들어 프로세스가 끊임없이 존재하지 않는 파일을 쿼리하거나 액세스하려고 시도했지만 상상할 수없는 경우를 상상해보십시오. 스택 탭을 살펴보고 제대로 보이지 않는 모듈이 있는지 살펴본 다음이를 조사 할 수 있습니다. 오래된 구성 요소 또는 악성 코드가 문제의 원인임을 알 수 있습니다..
또는 여기에 도움이되는 것이 없을 수도 있습니다. 살펴볼 다른 많은 데이터가 있습니다..
버퍼 오버 플로우에 대한 참고 사항
우리가 더 나아 가기 전에, 여러분은 목록에서 많은 것을 볼 수있는 결과 코드를 주목하고, 지금까지의 모든 괴짜 지식을 기반으로, 당신은 조금 놀랐을 것입니다. 따라서 목록에 BUFFER OVERFLOW가 보이기 시작하면 누군가가 컴퓨터를 해킹하려고한다고 가정하지 마십시오..
다음 페이지 : 프로세스 모니터 캡처를 처리하는 데이터 필터링