반응형
1. Process Monitor란?
- Windows Sysinternals Suite에서 제공하는 도구로, Microsoft에서 제공
- 프로세스 모니터링 및 분석, 디버깅을 목적으로 시스템의 파일 시스템, 프로세스/스레드, 파일, 네트워크, 레지스트리 동작 등을 실시간으로 캡쳐(수집)하여 모니터링 하는 프로그램
- 너무 많은 데이터를 수집한다는 점이 가장 큰 장점이자 단점
- 주요 기능
- Capture : 프로세스 로그 수집 캡쳐 on/off, 단축키 : Ctrl + E
- Autoscroll : 최근 활동한 프로세스 목록 이동
- Clear : 캡쳐된 프로세스 출력 내용 초기화
- Filter : 필터링 설정(프로세스 명 / PID / 경로 등등), 단축키 : Ctrl + L
- Highlight : 강조할 프로세스 표시
- Include Process From Window : 모니터링할 프로세스 선택
- Find : 텍스트 검색
- Jump to Object : 레지스트리 이동
- Process Tree 확인 (Tools - Process Tree)
- Backing Files
- Drop Filtered Events
- Advanced Output
- procmon.exe 실행 및 Capture 시작/종료 후 Save (.PML)
- Process Tree를 통해 분석할 프로세스 정보 확인
- 해당하는 프로세스 Filter 목록에 추가
- 보안솔루션 별 프로세스 정보 확인
3-3. Carbon Black Cloud Sensor 간섭 여부CBC Sensor RepMgr.exe, RepUx.exe, RepUtils.exe SEP ccSvcHst.exe Fasoo DRM f_LPS.exe, fph.exe, fClient.exe, f_logsvc.exe Samsung SDS DLP incops364.exe, ictray64.exe, esaw464.exe, icgni.exe - CBC Sensor 프로세스 명 필터링 추가
- CBC Path 필터링 제외
- 기타 분석에 필요없는 Path 필터링 제외
- 연관성 있는 프로세스 Path 필터링 추가
- Carbon Black Cloud Sensor 프로세스 필터링 적용 후 각 연관성 있는 프로세스 Path 필터링하여 타 보안솔루션 관련 파일들에 대한 파일 생성/접근 요청 등에 대하여 확인 → 해당 경로들에 대해서는 Policy에서 예외처리 진행
- Carbon Black Case 분석 사례 참고
- 예) SEP 관련 모듈 - C:\Windows\System32\sysfer.dll 경로만 Include 후 필터링 적용
- 필터링 적용 결과 (케이스 분석 결과와 동일)
- 시스템을 부팅하면서 부팅 관련 로그를 별도로 생성
- 부팅 시 시작되는 프로그램에 대한 리스팅 및 간섭 여부, 느림 증상 등 시스템 부팅 환경 개선 목적
- 악성코드 분석 목적
- 5. 부팅 로그 생성 및 분석
- 4. 케이스 2 - 로드 되는 모듈 기준으로 프로세스 행위 검색
- 3-1. 수집한 로그 파일 불러오기 (.PML - Process Monitor Log file)
4-2. 재부팅
- 재부팅 후 process monitor 실행
- 재부팅 후 수집한 로그 저장 - Booting.PML
- 분석 진행
반응형
'DFIR > 사고 대응' 카테고리의 다른 글
| 공격 벡터란? (0) | 2022.03.10 |
|---|---|
| 침투테스트 도구 치트시트, Penetration Testing Tools Cheatsheet (0) | 2021.11.30 |
| OSINT (Open Source Inteligence) 스터디 (0) | 2021.11.23 |
| [Forensic] VBA코드 추출 참고 (0) | 2021.01.18 |
| [Forensic] 리눅스 Live 데이터 수집과 Live CD 활용 (0) | 2021.01.12 |