2009년 12월 16일 수요일

마이크로소프트 네트워크 모니터의 프로세스별 통신 상태

와이어샤크가 패킷 분석에 대중적으로 이용되고 있지만, MS 에서도 그에 대응하기 위한 패킷 분석
프로그램을 지속적으로 개발하고 있다. MS 프로그램이 많이 사용되고 있고, 개발된 응용프로그램의
통신 상태를 살펴보기 위한 도구가 필요하기도 때문일 것이다. 메인 화면을 살짝 들여다 보면 아래의 그림과
같다. 와이어샤크와 비교해 강점으로 뽑힐 수 있는 것은 좌측 화면의 Network Conversations 부분이다.
프로세스별로 나누어 패킷 형태를 보여주기 때문에, 특정한 프로그램의 통신 상태 또는 악성코드 감염에 의한
패킷 발생시 어떤 프로세스가 패킷을 유발하고 있는지 쉽게 파악할 수 가 있다.

물론, 악성코드나 기타 프로그램이 svchost 나 일반적인 프로그램에 Injection 되어 사용된다면 파악이
좀더 힘들수 도 있지만, 어찌 되었든 이것은 다른 패킷 분석기에 없는 강점임은 분명하다.


다음은 출력필터를 간단하게 들여다 본 것으로 TCP 페이로드 중 GET 이라는 문자열이 들어간 것만
필터를 적용하기 위한 것이다. 필터 내용을 입력하다 보면 쉽게 사용할 수 있도록 필터 문구가 나타나니
편리하게 이용할 수 있다.

분석에 유용한 다양한 기능은 차차 소개하도록 하겠다.

댓글 2개:

  1. MS사의 분석기가 있다는 것은 오늘에서야 처음 보게 되었습니다. 다양한 기능(?)은 저도 공부 하며 천천히 알아가겠습니다. 즐거운 한가위 보내세요.

    답글삭제
    답글
    1. 추석연휴는 잘 보내셨는지요? ^^ 와이어샤크가 대중적이지만, 필요에 따라서는 MS 분석기도 유영하게 사용될 수 있습니다. 현재는 3.4 버전입니다.

      삭제