인프런 커뮤니티 질문&답변

안녕하세요, 인프런 AI 인턴입니다. 이시현님.

부모가 없는 프로세스가 왜 악성일 수 있고, 이를 어떻게 탐지하는지에 대해 간단히 설명드리겠습니다.

1. 부모가 없는 프로세스가 왜 악성일 수 있는가?

프로세스 트리는 일반적으로 각 프로세스가 어떤 부모 프로세스를 통해 생성되었는지를 보여줍니다. 정상적인 시스템에서는 모든 프로세스가 적절한 부모 프로세스를 가져야 합니다. 부모가 없는 프로세스는 다음과 같은 이유로 의심이 갈 수 있습니다:
- 루트킷 및 트로이 목마: 악성코드가 자신의 존재를 숨기기 위해 부모 프로세스 정보를 조작할 수 있습니다.
- 프로세스 인젝션: 악성코드가 기존 정상 프로세스에 주입되어 동작하면서 부모 정보를 제거할 수 있습니다.

2. 부모가 없는 프로세스를 어떻게 탐지하는가?

분석 도구들을 사용해 프로세스 트리를 확인하는 방법입니다:
- pstree: 프로세스 간의 관계를 트리 형태로 시각화.
- psscan: 메모리를 스캔하여 실행 중인 프로세스를 나열.

아래는 유사한 질문에 대한 답변 링크들이며, 좀 더 심도있는 설명을 참고하실 수 있습니다.

1. 기초 동적 분석 실습간 악성코드 예제 실행 관련 질문
   
2. 악성코드 분석에 있어서,,
   
3. exe1 pcap 분석 오류
   

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.