svchost.exe · Windows Service Host Process · 모든 시스템에 향상 존재하고, 보통 여러 개으 인스턴스가 동시에 실행되기 때문에 악성코드 은닉에 많이 악용된다. · 프로세스기반의 Firewalling이 적용되어 있는 있는 시스템의 경우에도 scvhost는 네트워크 사용이 허가되기 때문에 프로세스기반의 Firewalling을 우회하기 위해 목적으로 악용된다. · 윈도우 내 주요 서비스를 호스팅 하는 역할 의심스러운 svchost.exe · rogue name ( 프로세스의 숫자 철자를 앞뒤에 추가, 비슷한 단어로 속인다.) · 부모 프로세스가 services.exe가 아닌 경우 · 호스팅하는 프로세스가 없는 경우 - 커맨드라인 파라미터를 통해 확인이 가능하다 · 프로세스가 은닉 되어 있는 경우 비정상 프로세스 탐지 1. 프로세스 상태정보 확인 현재 동작중인 정상/비정상 프로세스 확인 및 프로세스에 담긴 정보를 통하여 의심되는 프로세스 목록 확인 2.
프...
![[Malware] - 비정상 프로세스 탐지](https://mblogthumb-phinf.pstatic.net/MjAyMDA1MjFfNzAg/MDAxNTkwMDM5MDQ2NDc5.dpQYgTQgpoPPLXh6HufnvB-IoLy3xxhYWkyLWJhazaAg.BdQky4gCDKjy7FCNn0h0h1BqiezpN0JVzDZuEtQDUV4g.PNG.ster098/image.png?type=w2)
#
explorer
#
정상
#
자식관계
#
악성프로세스
#
비정상
#
부모
#
services
#
Process
#
Malware
#
프로세스
원문 링크 : [Malware] - 비정상 프로세스 탐지
![[Network] - 사회공학기반 네트워크 침투](https://mblogthumb-phinf.pstatic.net/MjAyMDA1MTlfMyAg/MDAxNTg5ODY3MTEyNDIw.nDZ_k5pmbnl9tGeYkjvSbiuCg6j_YhZzcQ3MihIs-v0g.hLKVyO6W-plN1A-4wSwtjH62hee349GTCLPPOeLqZIIg.PNG.ster098/image.png?type=w2)
![[Mobile Hacking] Drozer를 활용한 취약점 분석 - 콘텐츠 프로바이더 분석](https://mblogthumb-phinf.pstatic.net/MjAyMDA5MzBfMjQ1/MDAxNjAxNDQ4NTk0MzMw.irmtVwetViz1BZ1Og8vsbujoksEJsgt6Kd55m1TA8Y4g.58x3OXgFHdQU38m4nUQubWBLWv6OlNTn_7FetvpK4Hcg.PNG.ster098/drozer.png?type=w2)