1. 시스템 프로세스(Process) 이해

• 프로세스란?

  컴퓨터에서 실행 중인 프로그램 (예: 인터넷 브라우저, 음악 재생기, 메신저 등)

• 윈도우 부팅 시 필수 프로세스 흐름

  System(PID 4)
      ↓
  smss.exe (세션 관리자)
      ↓
  csrss.exe / wininit.exe
      ↓
  services.exe (서비스 관리자)
  lsass.exe (로그인/인증)
  winlogon.exe (로그인 관리)
      ↓
  explorer.exe (사용자 환경 GUI)
  

  : 정상 프로세스는 이 순서대로 부모-자식 관계를 형성하는데, 이때 부모-자식 관계가 이상하거나 실행 위치/계정/시작 시간 등이 비정상인 경우 프로세스를 의심해볼 수 있음.

• svchost.exe

  • 여러 서비스 DLL을 한 프로세스에서 실행
  • 확인 사항:
    • 어떤 서비스 그룹(k)을 호스팅하는지
    • 실행 계정(LocalSystem/LocalService/NetworkService 등)
    • 로드된 DLL 서명 여부

2. 서비스(Service) 이해

• 서비스란?

  눈에 보이지 않지만 컴퓨터를 계속 유지 관리하는 프로그램 (예: 네트워크 관리, 보안 기능 등)

• 레지스트리 위치

  
  HKLM\\SYSTEM\\CurrentControlSet\\Services\\<서비스명>
  

• 확인 항목:

  • 실행 파일 위치(ImagePath) → 정상 경로인지 확인 (C:\\Windows\\ 또는 C:\\Program Files\\ 정상)
  • 실행 계정(ObjectName) → SYSTEM, LocalService 등 정상 계정인지 확인
  • 자동 시작 여부(StartType) → 필요 없는 서비스가 자동 시작인지 확인
  • 서명 여부 → 제작자가 확인되지 않거나 서명 없는 파일이면 의심

3. 살펴보는 순서

1. 프로세스 확인
   • Process Explorer, PowerShell 등으로 프로세스 트리와 실행 경로, 서명 확인
2. 네트워크 연결 확인
   • netstat -bno 또는 PowerShell Get-NetTCPConnection으로 의심 연결 탐지
3. 서비스 상태 확인
   • PowerShell Get-CimInstance Win32_Service로 서비스 상태, 계정, 경로 확인
4. 레지스트리 확인
   • 서비스 관련 키 읽기 전용 확인
5. 이벤트 로그 확인
   • 이벤트 ID 7045 (서비스 설치), 7036 (서비스 시작/중지)

4. 레드팀 시점에서 유용한 포인트

: 악성 프로그램은 정상 서비스나 프로세스처럼 위장하며 사용자에게 보이지 않는 곳에서 지속적으로 실행되도록 구성된다. 때문에 정상 프로세스 트리, 실행 경로, 서명을 이해하면 의심 항목을 빠르게 찾을 수 있으며 침투 시점과 지속성 확보 시점을 추적 가능하다.