#윈도우 서버 신규 서비스 생성 확인
서론
최근 악성코드들을 분석하다보면
서비스를 만들고 그 서비스를 이용해서
악성코드를 다운로드 받고, 예약작업을 생성하는 것을 확인 할 수 있었습니다.
또한 악성코드가 원하는 작업이 마무리되면
해당 악성 서비스를 삭제해서 확인에 어려움이 있습니다.
악성코드 감염의 시작이라고 할 수 있는
신규 서비스가 생성 유무를 확인할 수 있는 방법을 포스팅 하도록 하겠습니다.
신규서비스 생성 확인 방법
가장 먼저 이벤트뷰어를 실행 시킨 후 System 로그에서
서비스 생성 관련 로그만 필터링 해서 확인하면 됩니다.
말로는 간단한데 아래 내용을 보면서 직접 따라해 보시기 바랍니다.
1. 실행창(Win + R) 실행
2. eventvwr
3. Windows Logs > System 우클릭 > Filter Current Log 클릭
4. Event ID 입력창 > '7045' 입력 > 'OK' 버튼 클릭
5. 필터 링 된 이벤트 중 하나를 클릭해보면
아래와 같이 서비스명, 실행 파일명, 실행한 계정, 컴퓨터 이름 등을 확인 할 수 있습니다.
본인이 서버를 운영하면서
생성한 서비스가 아닌지, 파일이 악성코드는 아닌지 점검 하신 후
불필요한 서비스나 악성 서비스는 제거해 주시기 바랍니다.
마치며
악성코드 분석을 하면서 경험한 꿀팁들은
Security 카테고리에 포스팅하도록 하겠습니다.
'IT 잡동사니 > security' 카테고리의 다른 글
| [이벤트로그] 윈도우 이벤트로그 - 로그인 성공,실패 (1) | 2020.04.01 |
|---|---|
| [이벤트로그] 예약작업 삭제 후에도 계속 동작하는 경우 조치 방법 (0) | 2020.03.18 |