(밑에 글들 참조.-_-;)
그 웜과 관련된 포스팅을 한 후에.. 몇몇 분들께서 백신이 못잡는 웜이 있는줄
어떻게 알았냐.. 그런건 어떻게 진단하냐.. 라고 묻는 분들이 계셔서..
웜의 진단법에 관해 알아 보고자 합니다.+_+;
일단.. 웜의 가장 대표적인 증상은 멀쩡하던 컴퓨터가 갑자기 버벅인다는 거겠죠..
그럴 경우 Ctrl + Shift + Esc 키를 통해 작업 관리자를 띄우시고..
프로세스 탭에서 이상이 있을만한 프로세스를 찾아서 종료 하시고..
해당 실행 파일을 검색해 지워주시면 간단히 제거가 가능합니다.
그럼.. 어떻게 이상한 프로세스를 찾느냐.. 이건 원래 떠야할 프로세스를
알고, 원래 떠야할 프로세스 이외의 프로세스중.. 많은 양의 리소스를
차지하는 프로세스를 찾는 수밖에는 없습니다.
일반적으로 프로세스들은, 현재실행중인 프로그램의 실행파일과 시스템을
운영하기 위해 시스템이 실행한 프로세스 두가지로 나뉩니다.
그럼 현재 실행중인 프로세스도 아니고, 시스템에 필요한 프로세스도 아닌것이
CPU를 많이 점유하고 있다던지, 메모리를 몇십메가씩 먹고 있는 프로세스가
있다면 그놈이 바로 웜인것이 되겠죠.
그럼.. 시스템에서 기본적으로 사용하는 프로세스를 알아 봅시다.
⊙ 사용자가 강제로 종료할 수 있는 시스템 프로세스
Explorer.exe
- 윈도우의 기본 쉘 입니다. 윈도우의 대부분의 명령 처리를 관리 합니다.
예를 들어 사용자가 아이콘을 클릭하면 Explorer.exe 가 받아서 해당 명령을 수행합니다. 꼭 필요한 프로세스이지만, 프로세스 강제 종료가 가능하고, 일반적으로 강제 종료 후 다시 실행 되지만 실행되지 않을 경우 작업관리자의 파일->새작업 에다가 Explorer.exe 를 입력하시면 다시 실행이 가능합니다.
Internat.exe
- 사용자의 키보드 입력 로케일을 로드 하는 프로세스 입니다.
트레이에 보면, 현재 입력 상태를 표시할수 있는 아이콘이 있는데 (EN 혹은 KO 라고 적힌 파란색 아이콘(숨겨져 있는 경우도 있음)) 이 입력 로케일을 관리하는 프로세스 입니다.
Taskmgr.exe
- 이놈은 작업 관리자의 실행파일 입니다.
- 윈도우의 기본 쉘 입니다. 윈도우의 대부분의 명령 처리를 관리 합니다.
예를 들어 사용자가 아이콘을 클릭하면 Explorer.exe 가 받아서 해당 명령을 수행합니다. 꼭 필요한 프로세스이지만, 프로세스 강제 종료가 가능하고, 일반적으로 강제 종료 후 다시 실행 되지만 실행되지 않을 경우 작업관리자의 파일->새작업 에다가 Explorer.exe 를 입력하시면 다시 실행이 가능합니다.
Internat.exe
- 사용자의 키보드 입력 로케일을 로드 하는 프로세스 입니다.
트레이에 보면, 현재 입력 상태를 표시할수 있는 아이콘이 있는데 (EN 혹은 KO 라고 적힌 파란색 아이콘(숨겨져 있는 경우도 있음)) 이 입력 로케일을 관리하는 프로세스 입니다.
Taskmgr.exe
- 이놈은 작업 관리자의 실행파일 입니다.
⊙ 사용자가 강제로 종료할 수 없는 시스템 프로세스
Csrss.exe
- 윈도우 생성, 쓰레드, 16비트 가상 MS-DOS 모드 (시작->실행 command.com 을 입력하면 뜨는거.. cmd를 입력하면 뜨는 창과는 다릅니다.) 를 관장합니다.
Winlogon.exe
- 실제로 로그온 작업을 하는 프로세스 입니다.
Lsass.exe
- Winlogon.exe 의 요청에 의해 인증과 관련된 부분을 처리하는 프로세스 입니다.
Mstask.exe
- 예약 작업을 처리하는 스케쥴러 입니다.
System Idle Process
- CPU 의 Idle 프로세스로서.. CPU 에 남은 리소스를 관리하는 프로세스 입니다. 일반적으로 이놈이 CPU 점유율이 상당히 높게 나오는데 이 수치는 쓰고있는 리소스가 아닌 놀고있는 리소스 입니다. 그러니.. 높을수록 CPU의 리소스가 많이 남은게 됩니다.
Smss.exe
- 사용자 세션을 시작시키는 세션 관리자 로서 Winlogxon 및 Csrss.exe 프로세스를 구동, 시스템 변수를 설정는 등을 합니다.
쉽게 말해.. 시스템이 구동되면 초기화 작업을 하고나서.. 다른 프로세스가 도는상황을 감시 합니다. 그러다가 Csrss.exe 등이 정상적인 종료 신호를 주면 시스템을 정상적으로 종료하고, 걔네가 비정상적으로 멈추면 얘가 시스템을 정지 시키고 신호가 있을때까지 기다리게 하는 역활을 담당합니다.
System
- 쓰레드를 생성후 실행하는 윈도우의 기본 프로세스입니다.
Spoolsrv.exe
- 프린터의 스풀링을 담당하는 프로세스 입니다.
Winmgmt.exe
- 윈도우의 클라이언트를 관리하는놈 입니다. 클라이언트의 요청에 따라, 초기화등의 작업을 관장 합니다.
Svchost.exe
- DLL 형식으로 실행되는 다른 프로세스들의 host 역할을 합니다.
해당 형식의 프로세스가 여러개면.. 이놈도 여러개씩 뜹니다.
요즘 이 프로세스와 관련된 웜이 있어.. 대부분 유저들이 알고 있는 프로세스
일텐데요.. 이 프로세스에 관한 자세한 설명은 이곳을 참고 하시면 되겠습니다.
- 참고사항으로.. Svchost 에 어떤 DLL 들이 작동중인지를 살펴보려면 tlist.exe 파일이 필요 한데요.. 이 파일은 윈도우 CD 의 SUPPORTTOOLS 폴더 안에 보면 SUPPORT.CAB 라는 캐비넷 파일이 있는데 이 파일 안에 들어있으니.. 압축을 해제 하셔서 사용하시면 되고.. tlist -s 라고 입력하시면 호스트 사용 목록이 나타납니다.
Services.exe
- 윈도우의 서비스를 관리하는 역할을 합니다. 여기서 서비스라는건.. Messenger 서비스같은 서비스들을 얘기 합니다.
- 윈도우 생성, 쓰레드, 16비트 가상 MS-DOS 모드 (시작->실행 command.com 을 입력하면 뜨는거.. cmd를 입력하면 뜨는 창과는 다릅니다.) 를 관장합니다.
Winlogon.exe
- 실제로 로그온 작업을 하는 프로세스 입니다.
Lsass.exe
- Winlogon.exe 의 요청에 의해 인증과 관련된 부분을 처리하는 프로세스 입니다.
Mstask.exe
- 예약 작업을 처리하는 스케쥴러 입니다.
System Idle Process
- CPU 의 Idle 프로세스로서.. CPU 에 남은 리소스를 관리하는 프로세스 입니다. 일반적으로 이놈이 CPU 점유율이 상당히 높게 나오는데 이 수치는 쓰고있는 리소스가 아닌 놀고있는 리소스 입니다. 그러니.. 높을수록 CPU의 리소스가 많이 남은게 됩니다.
Smss.exe
- 사용자 세션을 시작시키는 세션 관리자 로서 Winlogxon 및 Csrss.exe 프로세스를 구동, 시스템 변수를 설정는 등을 합니다.
쉽게 말해.. 시스템이 구동되면 초기화 작업을 하고나서.. 다른 프로세스가 도는상황을 감시 합니다. 그러다가 Csrss.exe 등이 정상적인 종료 신호를 주면 시스템을 정상적으로 종료하고, 걔네가 비정상적으로 멈추면 얘가 시스템을 정지 시키고 신호가 있을때까지 기다리게 하는 역활을 담당합니다.
System
- 쓰레드를 생성후 실행하는 윈도우의 기본 프로세스입니다.
Spoolsrv.exe
- 프린터의 스풀링을 담당하는 프로세스 입니다.
Winmgmt.exe
- 윈도우의 클라이언트를 관리하는놈 입니다. 클라이언트의 요청에 따라, 초기화등의 작업을 관장 합니다.
Svchost.exe
- DLL 형식으로 실행되는 다른 프로세스들의 host 역할을 합니다.
해당 형식의 프로세스가 여러개면.. 이놈도 여러개씩 뜹니다.
요즘 이 프로세스와 관련된 웜이 있어.. 대부분 유저들이 알고 있는 프로세스
일텐데요.. 이 프로세스에 관한 자세한 설명은 이곳을 참고 하시면 되겠습니다.
- 참고사항으로.. Svchost 에 어떤 DLL 들이 작동중인지를 살펴보려면 tlist.exe 파일이 필요 한데요.. 이 파일은 윈도우 CD 의 SUPPORTTOOLS 폴더 안에 보면 SUPPORT.CAB 라는 캐비넷 파일이 있는데 이 파일 안에 들어있으니.. 압축을 해제 하셔서 사용하시면 되고.. tlist -s 라고 입력하시면 호스트 사용 목록이 나타납니다.
Services.exe
- 윈도우의 서비스를 관리하는 역할을 합니다. 여기서 서비스라는건.. Messenger 서비스같은 서비스들을 얘기 합니다.
위 리스트에 있는 프로세스와.. 현재 실행중인 프로그램에 의해 실행된 프로세스 이외의 프로세스면서 리소스 점유율이 높다면 일단 의심해 보고, 죽여 보시는게 좋겠습니다. 그럼.. 웜 때려 잡으시고.. 쾌적한 윈도우를 만들어 보시기 바랍니다.ㅋ 그럼 이만.. 제 닉 스.~
공유하기 버튼
  
|
덧글
이진아진 2004/04/26 01:30 # 답글
오옷 땡쓰~
XTRA君 2004/04/26 06:05 # 답글
오오..매번 좋은정보 얻어갑니다.. :3
모카 2004/04/26 09:03 # 답글
작업관리자 보면서 이건 몰까 궁금해 하던 건데.. 이렇게 궁금증을 풀어주는구만.. Thanks. :)
마진가 2004/04/26 10:58 # 답글
읽을때마다 까먹게 되요...--; 기억을 해야지...
제리아 2004/04/26 14:00 # 답글
흐음.. 요즘 웜들은 svchost.exe 에 붙어서 활동을 하던데..
왕멀 2004/04/26 18:25 # 답글
정말 유용하네요. 정리하시느라고 고생하셨겠어요.
LikeJAzz 2004/04/26 22:32 # 답글
결국 뭘 죽여야 하는건가요 ^^;
狂風 2004/04/26 22:38 # 답글
ㅋㅋ.. 좋은 글입니다.. 몽땅 퍼갈께요..
엘리 2004/04/26 23:55 # 답글
도움이 왕창 될 글인데......지금 너무 피곤해서~ -0- 나중에 천천히 읽어봐야겠어요~
제닉스 2004/04/27 09:18 # 답글
제리아 // svchost.exe 에 붙어서 활동하는놈들은 위 tlist.exe 파일로 체킹 가능합니다.^^LikeJAzz // 이 프로세스들과, 실행중인 프로그램 외의 프로세스중 의심가는(점유율이 높은) 프로세스겠죠 ㅋ..
이진,XTRA君,마진가,왕멀,狂風,엘리 // 감사합니다.ㅋㅋ
팟찌 2004/04/28 18:09 # 답글
이거 너무너무 고마운 글이네요....^^머가 바이러스인지 아닌지 몰라 헤매곤했는데...
제닉스 2004/04/29 10:08 # 답글
팟찌 // 엇. 팟찌님! 반갑습니다.ㅋ
웃구사세 2004/04/29 13:40 # 답글
유용한글 퍼갑니다 *-_-* 훗
제닉스 2004/04/29 14:31 # 답글
웃구사세 // 넵! *-_-* 훗.
다인군 2004/04/30 00:29 # 삭제 답글
Spoolsrv.exe는 프로세스를 죽인다기보다.. 스풀링을 사용안한다면 서비스에서 끌수는 있죠..
indirock 2004/05/01 10:25 # 답글
허.. 저도 엇그제 이 웜땜에 무지 고생을 했다는... 다행히 여기저기 문서보고 연구해서.. 겨우 해결했습니다.
kindlion 2004/05/05 21:23 # 답글
헐~ 제이글루에 글 남기셨더군여...scvhost는 있어야 하는거지만... scvhost32는 아닌거 같은데요..
제가 잘못 알았나요?? 2000을 사용하면서 그런건 본적이 없는듯.. 또한 xp에서두 마찮가지구용~~~ 틀리다면 지적바랍니다~
제닉스 2004/05/05 21:29 # 답글
다인군 // 네 서비스를 끄면.. 없어지죠 :)indirock // 다행이네요 ㅋㅋㅋ
제닉스 2004/05/05 21:29 # 답글
kindlion // 헉. 32를 놓쳤군요.. 치매가 오나봅니다.ㅋ32 붙은놈은 대표적으로 Raleka라는 웜이죠..^^;;
레지와 파일 삭제로 간단히 치료할 수 있는 놈입니다...;;
아.. 그리고.. 항상 좋은 정보.. 감사히 보고 있습니다.:)
gg 2004/05/10 22:50 # 삭제 답글
ggg
제닉스 2004/05/11 12:36 # 답글
gg // 네 GG.. ㅋ
곰 2004/07/29 16:45 # 삭제 답글
늘 뭐가 무엇인지 궁금했는데, 좋은 글 잘 보았습니다. :)
Lohengrin 2004/12/11 11:50 # 답글
프로세스 지운후에 레지스트리에 시작시 실행되는 프로그램 리스트에서도 삭제를 해 주는게 좋죠.그리고 프로세스중 의심은 가는데 잘 모르는게 있다면 구글 등에서 검색 해 봐도 된답니다. 웜이나 스파이웨어는 구글에서 안 나오더군요.