netstat 해킹 확인 방법 (총정리) 및 무료 해킹 확인 프로그램

netstat 해킹 확인 방법(총정리)

 

netstat 해킹 확인 방법(총정리) 및 무료 해킹 확인 프로그램

 

윈도 기본 명령 프롬프트(cmd)와 powershell에서 사용할 수 있는 netstat 명령어와 단축키 ctrl + shift + esc로 실행할 수 있는 '작업관리자'를 사용하여 수상한 port와 관련된 프로세스 및 프로그램을 확인하는 방법에 대해서 설명드리겠습니다.

추가 프로그램 설치 없이 윈도에서 자체 제공하는 명령어를 사용할 수 있어서 명령어 사용법만 숙지하고 있으면 빠르게 결과를 확인할 수 있습니다.

 

netstat 명령어 사용법

 

netstat 명령어 사용법

 

netstat 명령어의 사용법을 확인하시려면 netstat /? 명령어를 입력하시면 됩니다.

가장 많이 사용되는 옵션은 -a, -n, -o입니다. -ano로 한 번에 묶어서 사용할 수 있습니다.
-b 옵션을 사용하면 관련된 실행 파일도 표시해 줍니다. 

 

netstat "LISTENING" 상태 확인 명령어

 

netstat, LISTENING port 확인

 

netstat 명령어를 사용하고 4번째 열에 보이는 "LISTENING(수신 대기)", "ESTABLISHED(연결)" 상태를 주의 깊게 살펴보시면 됩니다.

"LISTENING(수신 대기)" 상태는 컴퓨터에서 관련 프로그램이 실행되고 있으며 관련 PORT가 OPEN된 상태로 연결을 기다리는 대기 상태입니다.

컴퓨터에서 21번 포트에 FTP SERVER를 실행하고 있다면, 아무런 접속이 없다면 "LISTENING"으로 표시되지만, FTP로 연결이 되면 아래와 같이 "ESTABLISHED'로 바뀌고, REMOTE에는 접속한 장비의 IP 및 PORT(3번째 열)가 표시되게 됩니다.

netstat -ano | findstr "LISTENING" 명령어를 사용하여 "LISTENING(수신 대기)" 상태만 확인할 수 있습니다.

5번째 열에는 PID 숫자가 나오는데요, 이 숫자를 사용해서 "작업 관리자" 프로그램에서 어떤 프로그램인지 확인할 때 사용할 수 있습니다.

 

netstat ftp port에 연결시 바뀐 결과

 

netstat "ESTABLISHED" 상태 확인 명령어

 

netstat "ESTABLISHED" port 확인

 

명령어 netstat -ano | findstr "ESTABLISHED" 명령어를 사용하여 "ESTABLISHED" 상태의 결과만 확인할 수 있습니다.

ESTABLISHED는 실제로 local(2번째 열)과 remote(3번째 열)이 서로 연결된 상태를 의미합니다.
3번째 열에 나오는 IP 및 port가 원격 컴퓨터의 IP 및 port입니다.

수상한 IP 및 PORT가 확인되면 5번째 열에 있는 PID 넘버를 확인하시고 "작업 관리자"에서 해당 PID로 작동하는 프로세스를 확인하시면 됩니다.

명령 프롬프트(cmd) 관리자 권한으로 실행

 

명령프롬프트 관리자 권한으로 실행하기

 

netstat 명령어 -b 옵션을 사용하기 위해서는 "관리자 권한으로 실행" 하셔야 합니다.
-b 옵션은 관련된 프로그램 이름을 확인하는 옵션입니다.

 

netstat -b 옵션 사용(프로그램 확인)

 

netstat -abno 또는 netstat -bno와 같은 명령어를 사용하여 관련된 프로그램을 확인할 수 있으나 프로그램 이름이 같은 줄이 아닌 바로 아랫줄에 표시되기 때문에 | findstr "ESTABLISHED" 또는 "LISTENING"등의 옵션을 사용하기에 부적절합니다.

findstr 명령어는 줄 단위로 추출을 해주는데, 바로 아랫줄 결과는 생략되기 때문입니다.
-b 옵션을 사용할 때는 나오는 리스트에서 직접 찾아야 하는 것이 많이 불편해집니다.

 

netstat -b 옵션 사용

 

FTP 접속을 종료하면 다시 21번 port는 LISTENING 상태로 바뀌며, 외부 주소 항목에서 접속된 IP가 없는 상태로 나오게 됩니다.

LISTENING 상태는 서버는 작동 중이며 외부의 연결만 안 된 상태이니, LISTENING 상태에서 작동하는 프로그램도 한 번씩 확인해 주시는 것이 좋습니다.

PID 4840으로 확인되네요.

 

작업 관리자에서 PID 확인하기

 

작업 관리자 - "PID" 탭 추가

 

CTRL + SHIFT + ESC 키를 누르면 "작업 관리자"가 실행됩니다.
이름, 상태 메뉴에서 "마우스 오른쪽 클릭" - "PID" 체크를 하면 PID 열이 추가로 보이게 됩니다.

netstat 명령어로 확인한 수상한 연결 리스트의 PID 숫자를 확인해 보세요.

 

PID에 관련된 프로그램 확인

 

PID 4840 관련해서 찾아보면 Microsoft FTP Service라고 확인할 수 있습니다.

이런 식으로 관련 프로그램을 찾아보시면 됩니다.

 

해킹 확인을 위한 무료 추천 프로그램 (TCP View)

 

다운로드 링크

 

Microsoft sysinternals Utilities(위 다운로드 링크)에서 TCPView, Process Explorer, Process Monitor 이 세 프로그램을 다운로드 받으세요.

 

TCP View 프로그램

 

TCP View 프로그램은 netstat 명령어보다 쉽게 연결상태,  PID, 연결된 프로그램을 한 번에 확인할 수 있는 프로그램입니다.

 

tcpview 프로그램

 

OneDrive에 Download 받은 압축프로그램을 압축 해제해서 보관하면 같은 OneDrive에 로긴을 한 다른 컴퓨터(노트북 등)에서도 바로바로 프로그램을 실행할 수 있어서 편리합니다.

 

TCP View 실행화면

 

해킹 확인을 위한 무료 추천 프로그램 (Process Explorer)

 

Process Explorer, Process Monitor

 

Process Explorer와 Process Monitor 프로그램은 바로 위/아래에 위치해 있네요. 

이 두 프로그램 역시 TCP View에 이어서 많이 사용하게 될 프로그램이니 같이 꼭 다운로드해 두세요.
Process Monitor 프로그램은 보다 전문적인 프로그램이라 Process Explorer만 설치해 주셔도 됩니다.

 

Process Explorer 프로그램

 

OneDrive에 압축을 풀어서 보관해서 사용하시면 여러 장비에서 같은 프로그램을 재 다운로드 없이 사용할 수 있어서 좋아요.

 

Process Monitor 프로그램

 

Process explorer 프로그램을 실행하시고 PID 숫자를 먼저 찾고, 그 PID에 연결된 프로그램 이름을 확인할 수 있습니다.

뿐만 아니라 "마우스 오른쪽 클릭" 하여 "Check VirusTotal" 명령을 실행하면, 해당 프로그램의 hash 값을 virustotal.com으로 전송하여, 바로 바이러스 검사가 가능합니다.

 

Process Explorer 프로그램에서 "Check VirusTotal" 명령어 실행

 

사용법에 익숙해지시면 쉽게 관련 프로세스를 확인할 수 있습니다.
아직 안 써보셨다면 바로 한 번 사용해보세요.