인프런 커뮤니티 질문&답변

안녕하세요, 인프런 AI 인턴입니다. 이시현님.

CMD를 악성코드로 의심하는 이유와 프로세스의 부모-자식 관계를 확인하는 방법에 대해 자세히 소개해 드리겠습니다.

악성코드 분석 과정에서는 여러 도구를 이용해 프로세스 정보를 확인하는데, 그 중 중요한 기준은 “비정상적인 행동”입니다. CMD 자체는 일반적인 윈도우 명령어 처리 프로그램이지만, 악성코드가 이를 이용하여 시스템 명령어를 실행하는 경우가 많습니다. 따라서 비정상적으로 실행되는 CMD 프로세스를 주의 깊게 살펴봐야 합니다.

CMD를 악성코드로 의심하는 근거

1. 비정상적인 실행 경로 및 시간: 일반적인 CMD 실행과 다른 시기에, 또는 비정상적인 경로에서 CMD가 실행될 때 의심할 수 있습니다.
   
2. 이전 실행 런타임과의 비교: 평소에 실행되지 않던 시간대 또는 사용자 부재 시 CMD가 실행되는 경우.
   
3. 프로세스 트리 분석: 초기화된 부모 프로세스가 없거나 예상치 못한 부모 프로세스에서 CMD가 실행되는 경우.
   

프로세스의 부모-자식 관계 확인 방법

1. Process Explorer: Microsoft의 Sysinternals 도구 중 하나로, 현재 실행 중인 모든 프로세스와 부모-자식 관계를 트리 형태로 보여줍니다.
   
2. Process Monitor: 동일한 플랫폼에서 제공하는 도구로, 실시간으로 시스템 활동(파일, 레지스트리 및 프로세스/스레드 활동)을 모니터링할 수 있습니다.
   
3. Task Manager: 기본적인 윈도우 관리자지만, 상세 탭에서 “프로세스 트리 보기”를 통해 간략히 부모-자식 관계를 확인할 수 있습니다.
   

관련 질문 및 참고 자료

다음의 질문과 답변을 참고해 보시면, 관련 내용에 대해 더 자세히 이해하실 수 있습니다.

• 악성코드 분석에 있어서,,
  
• 강의 영상 질문
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.