목차
해킹툴 감염 확인 (= 해킹 아이피 확인) PID(Process ID)로 해당 프로그램 확인 DNS 변조 확인 해킹된 경우 조치 해킹 예방
해킹툴 감염 확인 (= 해킹 아이피 확인)
Window로 고 키 + R 키
> cmd 입력 후 확인netstat -anb 입력
PS.
1. 프로토콜 (Protocol)
현재 보여지는 연결에 사용되는 프로토콜(일반적으로 TCP 또는 UDP) 표시.
2. 로컬 주소 (Local Address)
현재 연결이 수신되고 있는 로컬 IP 주소와 포트 나타냄.
로컬 IP 주소가 0.0.0.0인 경우, 해당 포트는 모든 IP 주소에 대한 연결을 수신하고 있음을 의미.
3. 외부 주소 (Foreign Address)
현재 연결이 수신되고 있는 외부(IP 주소)와 해당 포트 나타냄.
외부 IP 주소가 0.0.0.0인 경우, 해당 포트는 모든 외부 IP 주소에 대한 연결을 수신하고 있음을 의미합니다.
4. 상태 (State) - 현재 연결 상태 표시.
ESTABLISHED : 연결이 활성화되어 데이터 전송이 이루어지고 있음.LISTENING : 해당 포트에서 연결을 대기하고 있음.TIME_WAIT : 연결이 종료되었지만 아직 소켓이 닫히지 않은 상태임. 이 상태는 일시적으로 존재하며, 일정 시간이 지나면 사라짐.CLOSE_WAIT : 연결이 종료되었으며, 로컬 호스트는 연결을 닫았지만 외부 호스트는 아직 닫지 않은 상태임. 이 상태는 대개 문제가 되지 않음.
5. PID (Process ID)
※ 내 IP 아니거나, 아이피 뒤 포트가 80, 8000, 8080, 12345 경우 해킹툴 감염 의심
※ 인터넷포트나 단순포트 일 수있으니, 8000대 포트 뜨더라도 큰 걱정은 안 하셔도 됨.
※ 인터넷 관련 프로그램을 모두 종료시킨 후에 netstat 확인 하시는 것도 좋은 방법임.
※ netstat 옵션 확인 명령어 : netstat ? 또는, netstat /?
PID(Process ID)로 해당 프로그램 확인
[Windows 경우]
1. CMD (또는, PowerShell) 모드 경우명령 프롬프트나 PowerShell을 열어 아래 명령어 실행.
모든 PID의 프로세스 확인 명령어: tasklist
특정 PID의 프로세스 확인 명령어: tasklist /fi "pid eq PID번호
접속IP PID의 프로세스 확인 명령어: netstat -anb
2. 작업관리자 경우
작업표시줄에서 마우스오른쪽 버튼 클릭해, "작업 관리자 열기" 선택.
"세부정보 (또는, 프로세스)" 탭에서 해당 PID 번호의 프로세스 검색.
선택한 프로세스의 정보를 확인.
[Linux / macOS]
1. 터미너 경우
특정 PID의 프로세스 확인: ps -p PID번호
2. 시스템 모니터나 활동 모니터 경우
시스템 메뉴에서 시스템 모니터 또는 활동 모니터를 선택.
실행 중인 프로세스 목록 확인하고, 해당 PID 번호 찾기.
선택한 프로세스의 정보를 확인.
DNS 변조 확인
https://www.dns-ok.us/
녹색 배경 : DNS 변조 X
해킹된 경우 조치
ⓛ 안전모드로 실행 (※ 안전모드설정법 )
② 백신 실행 (MZK)
③ (안전모드 상태에서) 정밀검사 실행.
cf.
해킹 예방
ⓛ 의심가는 프로그램이나 파일 다운 시 주의
② windows 상시로 보안 패치
③ 쿠키파일 임시로 삭제 (도구-인터넷옵션-쿠키삭제)
④ 의심가는 메일 주의 (※ 메일을 읽기만 해도 감염 가능)
*단순 사이트 방문만으로도 해킹 위험 존재 (파일다운로드로도 쉽게감염)
*바이러스를 치료해도 계속 생성되는 이유는 번식하듯 대부분 파일을 이리저리 옮겨다니며 숨어있기 때문.
*일반모드로는 잘 안잡히므로 안전모드 실행 후 치료.
*여러 백신 동시에 돌릴 경우 오히려 바이러스가 더 안 잡힐 수 있음.
※ 최소 1~2개의 백신으로 실시간 검사를 하는 것이 더 잘 잡힘.
한국해킹보안연구소 님 https://www.facebook.com/hackerslab1/posts/269836536393010/
백신무력화 악성코드 치료 https://cafe.naver.com/malzero/94118
