Nbtstat.exe는 캐쉬된 NetBIOS 네임 테이블을 볼 수 있는 명령어이다.

윈도우는 컴퓨터가 넷바이오스를 통하여 다른 컴퓨터와 통신을 할 때마다 상대방 컴퓨터의 IP와 넷바이오스 네임을 메모리에 테이블로 기록해둔다.

이는 Cached NetBIOS Name Table이라고 하며, nbtstat -c 명령으로 확인할 수 있다.(대상 컴퓨터에 대한 자세한 정보를 보려면 -a [IP])

[Figure 1 - nbtstat.exe -c]

Name : 넷바이오스 네임

<??> : 넷바이오스 접미사(16진수)

Type : UNIQUE(일반 단일 컴퓨터), GROUP(그룹 컴퓨터)

만약, 넷바이오스 네임 없이 아이피만 검색이 되는 경우, 이는 MAC(OS X)이라고 생각하면 된다.

윈도우는 NIC가 Promiscuous mode로 동작하더라도 사용자에게 특별한 경고 메세지를 띄우지 않는다. 게다가, NIC 속성 정보에서도 관련 정보를 찾을 수 없다.

PromiscDetect.exe는 이러한 NIC를 찾아서 사용자에게 알려주는 프로그램이다.

[Figure 1 - not detected]

[Figure 2 - Detected]

PromiscDetect는 여기서 다운로드 받을 수 있다.

Ipconfig는 네트워크 인터페이스 정보를 볼 수 있는 가장 잘 알려진 윈도우 내장 명령어이다.

-all 옵션을 통해 어댑터 명, DNS 접미사, IP 주소, 서브넷 마스크, 기본 게이트웨이, 설명, MAC주소, DHCP, DNS 서버 정보를 볼 수 있다.

[Figure 1 - Ipconfig -all]

라우팅 테이블(Routing Table)을 볼 수 있는 명령이다. netstat -r 옵션으로도 같은 결과물을 볼 수 있지만, 옛날 윈도우 버전의 경우 존재하지 않는다.

라우팅이란 여기를 클릭해서 알아보도록 하자.

[Figure 1 - Route print]

오토런(시작점:Autorun)이란, 컴퓨터가 부팅되면 자동적으로 실행이 되는 프로그램들의 목록을 의미한다. 프로세스로 치면 서비스와 같은 것들이다.

Autorunsc.exe는 이러한 오토런들의 정보를 출력시켜주는 프로그램이다. -a 옵션으로 모든 탭의 오토런들을 출력해주고, -c 옵션으로 csv형식으로 출력 가능하다.

[Figure 1 - Autorunsc.exe]

서비스란 일반적인 프로세스와는 달리, 시스템이 시작될 때 자동적으로 시작되는 특별한 프로세스들이다. 이는 사용자와 특별히 상호작용을 하지 않으며 사용자가 로그온을 하지 않아도 자동적으로 시작될 수 있는 특징이 존재한다. 그런 특징 떄문인지 많은 악성코드의 타겟이 되기도 한다.

Psservice.exe는 이러한 서비스에 대한 상세 정보를 알려주는 프로그램이다.

[Figure 1 - Psservice.exe]

동작중인 프로세스라면 STATE에 RUNNING으로 표시되어 한눈에 상태가 어떤지 파악할 수가 있다.

윈도우 커맨드에서 명령어를 통한 작업을 하고있을 때 키보드 화살표 위, 아래를 누르면 방금 친 명령어들을 볼 수 있다. 이러한 정보들은 어디에 저장이 되는 것일까?

리눅스에 history가 있다면 윈도우엔 doskey가 있다.

많이 알려져 있진 않지만, 실제로 윈도우에서 명령어 사용 기록정보를 보려면 커맨드 창에서 doskey/history를 입력하면 볼 수 있다.

[Figure 1 - Doskey/history]

1024번 이후의 포트들은 정해진 규칙이 존재하지 않는다. 그렇다고 1024번 이전의 Well-Known Port라고 해도 규칙대로 행동할 필요가 없기 때문에 이러한 사실은 짱햌커들이 악성코드를 만들 때 자주 악용되곤 한다.

Netstat.exe의 경우엔 루트킷에 의해서 숨겨진 연결 정보는 보여주지 못하는 치명적인 단점이 존재하며 최신 버전이 아닐 경우 포트, 프로세스 매핑이 되지 않는다는 단점이 있다고 이전 Netstat.exe 포스팅에서 언급한 적이 있다.

[Figure 1 - Openports.exe -fport]

Openports.exe는 이러한 단점을 보완하였다.

포트/프로세스 매핑 시 전체 경로를 보여줄 뿐만 아니라, csv형식처럼 콤마(,) 구분자로 출력해주는 기능도 지원한다.

Openports는 여기서 받을 수 있다.

psfile은 net file이나 openfiles와는 달리 전체 경로를 생략하지 않고, 수행한 작업을 나타내어준다.

[Figure 1 - Psfile.exe]

psloggedon.exe는 net session에서 존재하지 않는 기능이 존재한다.

원격 접속(remote, foreign) 사용자와, 로컬(local) 접속 사용자를 알 수 있기 때문이다.

[Figure 1 - psloggedon.exe]

위 그림을 통해 현재 로그온되어있는 로컬 사용자는 Administrator이고 원격 접속 사용자는 없는 것을 알 수 있다.