[pc] 해킹 (검사/체크/점검) ※ netstat -na 결과 판독법 ※ PID(Process ID)로 해당 프로그램 확인

목차

1. 해킹툴 감염 확인 (= 해킹 아이피 확인)
2. PID(Process ID)로 해당 프로그램 확인
3. DNS 변조 확인
4. 해킹된 경우 조치
5. 해킹 예방

해킹툴 감염 확인 (= 해킹 아이피 확인)

 

Window로고 키 + R 키

> cmd 입력 후 확인
> netstat -anb 입력

---

PS. 

• 결과 정보 해독 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=19034
• 아이피 조회: https://후이즈검색.한국

 

1. 프로토콜 (Protocol)

• 현재 보여지는 연결에 사용되는 프로토콜(일반적으로 TCP 또는 UDP) 표시.

 

2. 로컬 주소 (Local Address)

• 현재 연결이 수신되고 있는 로컬 IP 주소와 포트 나타냄.
• 로컬 IP 주소가 0.0.0.0인 경우, 해당 포트는 모든 IP 주소에 대한 연결을 수신하고 있음을 의미.

 

3. 외부 주소 (Foreign Address)

• 현재 연결이 수신되고 있는 외부(IP 주소)와 해당 포트 나타냄.
• 외부 IP 주소가 0.0.0.0인 경우, 해당 포트는 모든 외부 IP 주소에 대한 연결을 수신하고 있음을 의미합니다.

 

4. 상태 (State) - 현재 연결 상태 표시.

• ESTABLISHED: 연결이 활성화되어 데이터 전송이 이루어지고 있음.
• LISTENING: 해당 포트에서 연결을 대기하고 있음.
• TIME_WAIT: 연결이 종료되었지만 아직 소켓이 닫히지 않은 상태임. 이 상태는 일시적으로 존재하며, 일정 시간이 지나면 사라짐.
• CLOSE_WAIT: 연결이 종료되었으며, 로컬 호스트는 연결을 닫았지만 외부 호스트는 아직 닫지 않은 상태임. 이 상태는 대개 문제가 되지 않음.

 

5. PID (Process ID)

• 연결을 생성한 프로세스의 ID 나타냄.

 

※ 내 IP 아니거나, 아이피 뒤 포트가 80, 8000, 8080, 12345 경우 해킹툴 감염 의심

※ 인터넷포트나 단순포트 일 수있으니, 8000대 포트 뜨더라도 큰 걱정은 안 하셔도 됨.

※ 인터넷 관련 프로그램을 모두 종료시킨 후에 netstat 확인 하시는 것도 좋은 방법임.

※ netstat 옵션 확인 명령어 : netstat ?  또는, netstat /?

PID(Process ID)로 해당 프로그램 확인

[Windows 경우]

1. CMD (또는, PowerShell) 모드 경우

• 명령 프롬프트나 PowerShell을 열어 아래 명령어 실행.
• 모든 PID의 프로세스 확인 명령어: tasklist
• 특정 PID의 프로세스 확인 명령어: tasklist /fi "pid eq PID번호"
• 접속IP PID의 프로세스 확인 명령어: netstat -anb

  

2. 작업관리자 경우

1. 작업표시줄에서 마우스오른쪽 버튼 클릭해, "작업 관리자 열기" 선택.
2. "세부정보 (또는, 프로세스)" 탭에서 해당 PID 번호의 프로세스 검색.
3. 선택한 프로세스의 정보를 확인.

 

---

[Linux / macOS]

 

1. 터미너 경우

• 특정 PID의 프로세스 확인:  ps -p PID번호 -o comm=

2. 시스템 모니터나 활동 모니터 경우

• 시스템 메뉴에서 시스템 모니터 또는 활동 모니터를 선택.
• 실행 중인 프로세스 목록 확인하고, 해당 PID 번호 찾기.
• 선택한 프로세스의 정보를 확인.

 

DNS 변조 확인

아래 사이트 더 이상 유효 X

https://www.dns-ok.us/

녹색 배경 : DNS 변조 X
빨간 배경 : DNS 변조 O

해킹된 경우 조치

 

ⓛ 안전모드로 실행 (※ 안전모드설정법)

② 백신 실행 (MZK)

③ (안전모드 상태에서) 정밀검사 실행.

 
cf.
일반모드 경우: 어베스트, 카스퍼스키, 윈도우디펜더, 안랩 등으로 여러 번 검사

 

해킹 예방

 

ⓛ 의심가는 프로그램이나 파일 다운 시 주의

② windows 상시로 보안 패치

③ 쿠키파일 임시로 삭제 (도구-인터넷옵션-쿠키삭제)

④ 의심가는 메일 주의 (※ 메일을 읽기만 해도 감염 가능)

 

---

*단순 사이트 방문만으로도 해킹 위험 존재 (파일다운로드로도 쉽게감염)

*바이러스를 치료해도 계속 생성되는 이유는 번식하듯 대부분 파일을 이리저리 옮겨다니며 숨어있기 때문.

*일반모드로는 잘 안잡히므로 안전모드 실행 후 치료.

*여러 백신 동시에 돌릴 경우 오히려 바이러스가 더 안 잡힐 수 있음.

※ 최소 1~2개의 백신으로 실시간 검사를 하는 것이 더 잘 잡힘.

한국해킹보안연구소 님 https://www.facebook.com/hackerslab1/posts/269836536393010/

백신무력화 악성코드 치료 https://cafe.naver.com/malzero/94118