시스템 모니터링 툴

1. process monitor

- filemon과 regmon의 공식통합판으로 2009년 이후 filemon과 regmon은 패치가 중단되었다

- 각 태스크의 어플리케이션이 파일과 레지스트리를 어떻게 사용하는지 실시간으로 모니터링 하는 프로그램이다

- 읽기, 쓰기, 삭제 등 모든 행동을 모니터링 해준다

 

- 항목에 오른쪽 마우스키를 눌렀을 때 나타난 메뉴

 

Jump to : 해당 레지스트리의 위치로 파일탐색기가 실행된다

Include : 해당 프로세스명이 포함된 로그만 보이도록 한다

Exclude : 해당 프로세스명을 제외한 모든 로그가 보이도록 한다

Highlight : 해당 프로세스명이 포함된 로그를 옵션에서 지정한 색깔로 포인트를 준다

http://wooica.tistory.com/4 (참고사이트, 예전의 filemon에 대해 자세히 설명되어있다, filemon과 Regmon을 그대로 합쳤으므로 활용가능할 것이다)

 

2. TCP view

- 네트워크 관련 프로토콜이 어떤 포트를 사용하는지 모니터링 해주는 툴이다

* 가끔 화면의 항목중에 초록색과 빨강색의 항목들이 순간적으로 생기는데 초록색은 새로 생기는 포트이고 빨강색은 종료되는 포트이다

 

 

- 오른쪽 키 옵션

Process Properties : 버전, 프로그램 경로 표시

End Process : 선택한 프로세스 강제종료

Close Connection : 선택한 프로세스 연결 끊기(종료되지 않음)

Whois : CLOSE_WAIT 상태인 포트의 호스트 정보를 표시

보안에서의 TCPView활용

멀웨어나 악성 봇의 경우 주기적으로 접속을 요청하고, 강제로 포트를 개방하게 됩니다. 모니터링 중 주기적으로 계속해서 특정한 곳에 접속시도를 하거나 허용되지 않은 포트가 열려있는 경우. 그 해당 포트의 프로세스를 악성프로그램으로 의심할 수 있습니다