[Tryhackme] Endpoint Security Fundamentals 엔드포인트 보안

사이버보안

이둥둥 2025. 3. 18. 16:30

데이터 통신을 위한 네트워크 연결에 사용되는 물리적 혹은 가상 디바이스

core windows processes를 알기 전에 Task Manager의 윈도우 프로세스를 알아보자

Task Manager(작업 관리자)는 윈도우의 빌트인 유틸리티이고 윈도우에서 실행 중인 프로세스와 사용 중인 자원(CPU, 메모리)을 확인할 수 있다.

> 기호는 프로세스의 부모-자식 관계를 나타냄. 예를 들면 Systme > smss.exe

이번엔 윈도우의 백그라운드에서 실행 중인 아티팩트를 분석해 보자, Sysinternals은 70개 이상의 윈도우 기반 툴의 모음이다. 각 기능들은 아래의 카테고리로 분류할 수 있음

그리고 엔드포인트 분석을 위해 가장 흔하게 사용되는 Sysinternals 툴은 TCPView, Process Explorer

각각 알아보자

시스템의 모든 TCP, UDP 엔드포인트의 상세한 리스트를 보여주는 윈도우 프로그램이다. TCP 연결의 로컬, 원격 연결, 상태, Netstat 프로그램의 서브셋을 알려줌

위와 같이 실행파일을 실행하는 방법도 있고 command line으로 실행하는 방법도 있다

프로세스 탐색기는 두 개의 하위창으로 구성되어 있다. 위쪽 창에는 소유 계정주의 이름 등 현재 활성 프로세스 목록이 표시되는 반면, 아래쪽 창에 표시되는 정보는 Process Explorer가 있는 모드에 따라 달라짐

특정 핸들이 열리거나 DLL이 로드된 프로세스를 빠르게 표시하는 강력한 검색 기능도 있다고 함

Process Explorer - Sysinternals

프로세스가 열어 둔 어떤 파일, 레지스트리 키, 기타 개체, 로드한 DLL 등을 찾으세요.

learn.microsoft.com

프로세스 부모 자식 관계 파악하기에 가장 편리한 툴이라고 생각함 PID, PPID를 일일이 비교할 필요 없이 하위 관계가 시각적으로 보여준다

svchost.exe의 부모 프로세스는 services.exe 이런식으로 한눈에 볼 수 있다

PPID를 활용한 프로세스와 부모 자식 관계 파악은 아래 포스팅 참고

맬웨어 식별 훈련 :: 정보추출 이후 프로세스 이상징후 분석 실습

이전 실습 요약: 이전 실습에서는 침해사고 발생한 아티팩트, 메모리 덤프파일(memory.raw)을 수집했음. 여기서 프로세스 관련 정보들(ex 생성시간, 종료시간, PID, DLL 등)을 추출했음

eggsmong.tistory.com