오늘은 저희 블로그를 찾아주신 “나”님의 요청으로 TCP View라는 tool을 소개할까 합니다!
TCP View는 TCP와 UDP의 연결 상태를 확인 할 수 있는 네트워크 모니터링 tool로서 실행중인 프로세스와 연결된 네트워크의 Local Address와 Remote Address 정보를 알려줍니다.
TCP View의 이와 같은 기능을 통해 악성코드의 네트워크 동작 여부를 실시간으로 모니터링 할 수 있으며 실행중인 프로세스를 직접 종료 또는 연결을 끊을 수도 있습니다.
그럼, 오늘도 악성코드를 잡기 위해 달려보시죠~!
▶ 다운로드
▶ 실행
프로그램을 다운로드 하면 폴더에 아래와 같은 파일들이 보입니다.
Tcpvcon.exe는 명령 프롬프트용으로 Tcpview.exe와 동일한 기능을 하며 이 글에서는 Tcpview.exe를 이용하여 설명 드리겠습니다.
Tcpview.exe을 실행시키면 최초 아래의 화면이 보이며, 빨간 박스 안의 프로세스들은 정상적인 것들입니다.
정상인지 아닌지는 해당 프로세스의 정보를 확인하면 알 수 있는데요, System 프로세스를 제외한 나머지 프로세스는 오른쪽 마우스 클릭 후 Properties를 통해 정보를 확인 할 수 있습니다.
여기서 Tip!
아래 옵션을 잘 이용하면 더욱더 편리합니다. ^^
왼쪽부터 차례대로 설명 드리면 ① 디스크 모양의 옵션은 현재 상태를 텍스트 파일로 저장하는 기능을 하며, ②A 옵션은 로컬 및 원격지 주소를 IP 주소 또는 호스트 이름으로 설정하는 기능입니다. ③오른쪽에 화살 같은 모양의 옵션은 현재 연결된 상태 또는 열린 모든 프로그램을 볼 수 있도록 설정하는 기능을 합니다. ④마지막은 새로 고침 옵션입니다. ^^
여기서 화살 같은 모양의 옵션을 잘 이용하면 비교적 깔끔하게(?) 정리된 화면을 볼 수 있는데요, 이 옵션을 선택하면 루프백(loopback)을 제외한 현재 연결된 정보만 화면에 표시할 수 있습니다.
여기서, TCPView에서 보여주는 정보에 대해 간략히 설명 드리겠습니다.
ü 목록들의 색
l 초록색 : 정상 연결
l 빨강색 : 연결이 끊기거나 종료되었을 때
l 노란색 : 연결이 바뀌었을 때
ü process : 실행중인 프로세스
ü Protocol : 프로토콜(TCP 또는 UDP) 이름
ü Local Address : 사용 중인 로컬 PC의 IP 주소와 포트 번호
ü Remote Address : 소켓이 연결된 원격 PC의 IP주소와 포트 번호
ü State : 연결 상태 표시
l CLOSE_WAIT: 원격의 연결 요청을 받고 연결이 종료되기를 기다리는 상태
l CLOSED: Server 완전히 연결이 종료된 상태
l ESTABLISHED: 서로 연결이 되어 있는 상태
l FIN_WAIT_1: 소켓이 닫히고 연결이 종료되고 있는 상태
l FIN_WAIT_2: 로컬이 원격으로부터 연결 종료 요구를 기다리는 상태
l LAST_ACK: 연결은 종료되었고 승인을 기다리는 상태
l LISTEN: 데몬이 요청을 발을 수 있도록 연결 요구를 기다리는 상태
즉, 포트가 열려있음을 의미
l SYN_RECEIVED: 원격으로부터 연결 요청을 받은 상태
l SYN_SEND: 로컬에서 원격으로 연결 요청(SYN 신호를 보냄)을 시도한 상태
l TIMED_WAIT: 연결은 종료되었으나 원격의 수신 보장을 위해 기다리고 있는
상태
마치며……
오늘은 TCP View에 대한 소개와 기능에 대해 말씀 드렸습니다. 계속해서 TCPView를 이용하여 악성코드에 대응하는 법을 게시할 예정입니다. 여러분의 많은 관심 부탁 드려요~^^
감사합니다.
'악성코드 정보' 카테고리의 다른 글
악성코드 대응! - TCP View 편 (2) (6) | 2010.05.13 |
---|---|
"Thank you from Google!", "You Received Online Greeting Card", "New resume." 스팸 주의! (1) | 2010.05.13 |
문서 파일에 포함된 악성코드 주의! (0) | 2010.05.09 |
[스팸주의] Your transaction has been processed (0) | 2010.05.09 |
setting for your mailbox *이메일주소* are changed (4) | 2010.05.09 |
댓글