'netstat'에 해당되는 글 1건

  1. 2012.07.16 [Windows]Netstat.exe

[Windows]Netstat.exe

공부/Forensics 2012. 7. 16. 12:19 |

네트워크 연결 정보를 수집할 수 있는 도구로 윈도우 내장 프로그램인 netstat.exe를 들 수 있다.


netstat -nao를 통해 기본적인 정보들을 수집할 수 있고, netstat -nabo를 통해 pid에 맞는 프로세스를 표시해준다.


로컬에 열려있는 포트들(리스닝 포트) 중 1023번 이하의 well-known port의 경우 기능들이 사전 파악 되기 때문에 해당 컴퓨터가 어떠한 서비스를 하고 있는지 알 수 있게 된다.


마찬가지로 로컬이 접속한 리모트 컴퓨터의 포트를 봐도 대상 컴퓨터가 어떠한 서비스를 운영하는지 알 수 있다. 대상이 20, 21번 포트에 접속 중이라면 FTP 서버라는 뜻이고, 25번 포트는 SMTP 서버, 80은 WEB 서버를 의미가 된다.


만약 well-known port가 아니라면 아래와 같이 -nabo를 이용해 어떤 프로세스인지 확인하는 것도 좋은 방법이다.


[Figure 1 - Netstat -nabo]


하지만 well-known port라고 무조건 믿어서도 안된다. IANA가 정한 규칙을 반드시 따를 필요가 없기 때문이다.


그래서 이러한 사실은 짱햌커들이 악성코드를 만들 때 자주 악용되곤 한다. 또한, 서버가 아닌데도 리모트 컴퓨터와의 연결이 비정상적으로 많다면 그 또한 의심해 보아야 할 문제이니 잘 알아두도록 하자.


Netstat.exe는 일반인들도 가끔 사용하는 윈도우 기본 명령이라 사용하기는 매우 쉽다. 하지만, 루트킷에 의해서 숨겨진 연결 정보는 보여주지 못하는 치명적인 단점이 존재하며 최신 버전이 아닐 경우 포트, 프로세스 매핑이 되지 않는다(하지만 실행파일 명과 PID만 보여주므로 그닥 쓸모가 없다).



[Figure 2 - Netstat -help]


'공부 > Forensics' 카테고리의 다른 글

[Sysinternals]Handle.exe  (1) 2012.07.16
[Sysinternals]PsList.exe  (1) 2012.07.16
[Matthieu]win64(32)dd.exe  (5) 2012.07.16
[Windows]Runas.exe  (0) 2012.07.15
데이터 복구와 파일 카빙의 차이점  (0) 2012.07.05
Posted by extr
: