프로세스 이름 변경하기
fORENSIC * 2014. 11. 26. 13:18Malware 등 프로그램을 분석할 때,
Regshot, Procmon 등의 분석툴들을 강제로 종료시켜 버리는 코드가 삽입되어 있는 경우가 있다.
내가 분석한 과제의 경우에는
tskill 명령을 이용하여 Reg, procmon, taskgmr 로 시작하는 프로세스 이름을 찾아서 해당 프로세스를 종료시켜 버리는 경우였다.
해당 프로세스 종료 권한을 상승시키거나, 강제 종료 할 수 없도록 코드를 짜는 방법 등 다양한 방법들이 있지만
가장 쉬운 방법으로, 프로세스 이름을 변경하여 해결하였다.
예를 들어 tcpview.exe 프로세스 이름을 변경해 보자
작업관리자를 보면, Tcpview.exe 프로세스가 정상 실행중이다.
마우스 오른쪽 버튼을 눌러 '속성' 창을 열어 놓는다.
그리고 다시 tcpview.exe를 마우스오른쪽버튼 클릭하여 '프로세스 끝내기' 를 클릭한다.
속성창은 열려 있는 상태
프로세스 끝내기를 클릭한다.
프로세스는 종료되고 작업관리자에도 없어졌으나, 속성창은 남아있다.
이름을 변경한다. 이때 주의해야 할 사항은 뒤에 확장자(.exe)는 그대로 두고 이름만 바꾼다.
예제에서는 TCPVIEW -> T1CPVIEW로 변경하였다.
그리고 확인 클릭
그러면 원래 파일이 T1cpview.exe 로 이름이 변경되면서, 실행해도 프로세스 이름 또한 같이 변경이 된다.
