악성코드 분석 black energy 심화 - 프로세스 검사 1

[1] 프로세스 검사

1. PSTREE

Microsoft Windows는 운영 체제입니다. Explorer.exe는 Windows 운영 체제의 그래픽 셸 관리자 인 Windows 프로그램 관리자 또는 Windows 탐색기를 실행합니다. 이것은 Windows의 적절한 기능을 수행하는 데 필수적인 시스템 구성 요소입니다. 제거해서는 안됩니다. Windows 탐색기 또는 Windows 프로그램 관리자는 작업 표시 줄, 시작 메뉴, 바탕 화면 및 파일 관리자를 포함하여 Windows 운영 체제의 그래픽 셸 구성 요소를 관리합니다. Windows 운영 체제의 필수 구성 요소이며 제거하면 그래픽 인터페이스가 사라집니다. 운영 체제의이 기본 창을 통해 사용자는 자신의 PC에서 프로그램을 실행할 수 있으며 모든 버전의 Microsoft Windows에서 사용할 수 있습니다.

 

explorer 실행후 악성파일로 의심되는 파일이 실행되고 그이후 cmd.exe 파일이 실행된 모습

 

 

2.PSSCAN

악성코드의 2초간 실행된후 종료된 것을 확인 할 수 있다.

pslist랑 다르면 의심을해야한다.