본문 바로가기

Tool

시스템 모니터링 툴

파일과 레지스트리 변화와 네트워크 상태, 프로세스의 상태를 분석하는 툴들을 소개한다.
(2010. 11. 15. 월요일 확인결과 Filemon 이 없어지고 Process Moniter 가 생겼네요.
사용법은 똑같으니 다운받아서 아래처럼 사용하세요 ㅎㅎ)

ProcessMonitor :  
어플리케이션이 파일들을 어떻게 사용하는지 실시간으로 모니터링해서 오픈, 읽기, 쓰기, 삭제 등의 상황을 정확히 출력해준다.

Filemon.exe를 실행하면


돋보기 모양 : 모니터링(Ctrl+E), 모리시계모양 : 필터링(Ctrl+L)

돋보기 모양의 모니터링 버튼(Ctrl+E)을 이용하여 모니터링 시작 · 중지를 할수 있다.
프로그램을 켜놓기만 하면 이벤트 정보가 로그로 쌓이지만 그 양이 너무 많아서 옵션을 주어야 한다.

먼저 어떤 파일들을 모니터링할지 선택한다.


Volumes에서 원하는 하드디스크와 네트워크 파일을 체크할 수 있다.폰트 조절은 Option->Font 에서 가능하다.

모니터링된 파일 리스트 중 하나를 더블클릭하면 사용된 디렉터리를 열어서 내용을 확인할 수 있고, 모니터링 내용들은 파일(.LOG)로 저장해서 나중에 다시 열어 검토할 수 있으며 특정 문자의 검색 기능도 갖추고 있다.


필터링 버튼을 눌러서 notepad.exe 프로세스가 저장하는 파일을 찾도록 해보겠다.


필터 옵션의 Include에는 파일의 변화를 보고 싶은 프로세스명을 적고, Exclude에는 보고 싶지 않은 프로세스명을 적는다.

ex. Include 값에 별(*)을 넣으면 전체가 다 나온다. 때문에 Exclude 값에 보고 싶지 않은 값을 넣으면 되고, 그 값들이 여럿이라면 세미콜론(;)으로 구분해서 넣으면 된다. 하단의 원하는 로그 종류 옵션을 체크박스로 구분해두면 보기 편하다.

이툴은 어떤 인증을 key 파일로 하는 경우에 어떤 파일을 필요로 하는지 찾는데 리버싱에서 유용하게 쓰이거나 악성 코드를 분석할 때에 무슨 파일들을 만들어내는지 분석할 때 편하다.



Regmon :
레지스트리를 검사하는 툴로써 어플리케이션이 어떤 레지스트리들을 사용하는지 실시간으로 모니터링한다.

사용법은 Filemon과 거의 동일하며 레지스트리를 보여준다는 것만 다르다.


탐지된 레지스트리 로그를 더블클릭 하면 윈도우에 기본적으로 있는 regedit.exe의 해당 위치로 이동한다. 주요 기능인 필터를 지정한 후에 Filemon과 동일하게 사용하면 된다.


FIlemon과 동일한 화면 구성을 가지고 있다. 특정 프로그램을 분석할 때 실시간이므로 특정 시점의 변화를 알려고 할 때 좋다.



TcpView :
윈도우에서 네트워크 관련 프로세스가 어떤 포트를 열어서 사용 중인지 모니터링한다.

윈도우의 콘솔 명령어인 netstat 명령어와 비슷하지만 Update 시간을 조절해서 보거나 프로세스의 변경되는 상태를 색으로 구분해주어 더 편리하다.


어떤 포트가 어떤 프로그램에 의해서 열려있는지 확인할 때 주로 쓰며, 색으로 구분이 확실하게 되므로 실시간으로 변경되는 상태를 볼 때 주로 사용된다.



Procexp :
ProcessExplorer는 프로세스의 세부적인 정보를 보여주고, 실시간으로 새로 생성하고, 없어지는 프로세스를 색으로 표시해준다.

Option->Replace Task Manager를 선택하면 Windows 작업관리자를 대체해서 사용 가능하다.


View->Lower Pane View->DLLs를 선택하면 하단에 선택한 프로세스가 사용중인 DLL 모듈 목록들이 나타난다. 프로세스에 DLL 파일들이 사용되었다가 없어졌다가 하는 모습을 색으로 구분해서 실시간으로 보여준다.


프로세스의 정보를 보고 싶으면 프로세스를 선택하고 우클릭 하여 Properties를 선택해주고, 프로세스를 종료하고 싶으면 Kill Process를 누르면 된다.


표시된 아이콘을 프로그램 화면에 드래그 앤 드롭하면 해당 프로세스를 찾아준다.


View->Select Columns 을 선택하면 프로세스 정보를 나타낼 항목을 지정할 수 있는데, 서버들을 모니터링해야 할 일이 있을 때 원하는 항목을 지정해서 보면 편리하다.

'Tool' 카테고리의 다른 글

디컴파일러(Decompliers)  (0) 2009.11.07
아이다(IDA)에 MS 심볼 서버 연동하기  (9) 2009.11.06
아이다(IDA)에 Hex-Ray 연동  (9) 2009.11.06
아이다(IDA) 사용법  (51) 2009.11.02
올리디버거(OllyDBG) 사용법  (13) 2009.10.24