http://blog.naver.com/hahaj1/20054721730
Process
Explorer는 프로세스를 관리할 수 있는 프로그램이다. 즉 실행중인 프로세스의 파악과 해당 프로세스의 우선권 변경, 정지, 강제 종료 등의
조치를 할 수 있다. 아울러 추가 설정을 통해 메모리 사용량 등을 파악할 수 있다. 참고적으로 윈도우(Windows)의 작업
관리자에서도 프로세스를 파악할 수 있으나 기능이 다양하지는 않다. 그리고 PC방과 같은 곳에서 윈도우의 작업 관리자를 사용할 수 없도록
조치했다면 Process Explorer 프로그램이 대안이 될 수도 있다. (※ 참고 : 이 글은 티스토리 블로그에서 2008.04.22에
작성하였으나, 일부 내용을 갱신한 후 네이버 블로그로
이전하였다. 특별한 설명이 없는 한 예제에서 사용한 프로그램의 버전은 v11.13 기준이다.)
※ 공지사항 : Process Explorer 프로그램의 사용법을 설명한 이 글에 대해 어려움을 느끼는 초보분들을 위하여, 아주 기본적인 내용만 간추린 설명을 따로 마련하였습니다. 외국의 사기(허위) 프로그램(가짜 백신, 가짜 안티스파이웨어) 제거 등과 관련하여 프로세스 강제 종료가 필요한 경우, 아래 글을 우선 참조하시기 바랍니다.
▣ Process Explorer 사용 방법
1.
프로그램 다운로드 및 실행 방법
Process Explorer 프로그램의
다운로드는 제작사 사이트 혹은 Daum 등의 자료실을 이용하면 된다. 파일을 다운 받은 후에는 압축을 해제한 후, procexp.exe 파일을
실행하기만 하면 된다. 따로 설치할 필요는 없다.
* 직접 다운받기 : http://download.sysinternals.com/Files/ProcessExplorer.zip
* Run Process Explorer : http://live.sysinternals.com/procexp.exe
* Daum 자료실 : http://file.daum.net/search.php?w=0&q=process+explorer
2. Process Explorer 관련 설명 및 사용
예제
⒜
프로세스를 강제 종료할 수 있는 특성 때문에 카스퍼스키(구 버전 기준)에서는 Process Explorer 프로그램을 의심스러운 행동으로
진단하여 사전 방역에서 실행의 차단 여부를 묻기도 한다. 어베스트 안티 바이러스(v4.8)의 경우에는 Process Explorer의 실행을
차단하지는 않지만 어베스트 관련 프로세스를 종료시킬 수는 없다(자기 보호 기능).
⒝ Process Explorer 프로그램을 실행하게 되면 아래와 같은 기본 화면을
접할 수 있다. 아래 예제는 별도의 언급이 없는 한, 모두 PC방을 기준으로 한 것이다. 주요 프로세스를 살펴보면 PC방 관리
프로그램과 ESET NOD32 프로그램(본인이 임시로 설치), 그래픽 드라이버 등을 볼 수 있다.
⒞ Process Explorer의
화면을 살펴보면 표시되는 프로세스의 색깔이 구분됨을 알 수 있다. 이에 대한 설정은 “Options → Configure
Highlighting” 메뉴에서 확인(변경) 가능하다.
⒟ 실행 중인 프로세스를 관리하고자 할
경우, 해당 프로세스를 선택한 후 마우스 오른쪽 버튼을 누르면 메뉴가 나타난다. 프로세스의 종료(Kill), 재시작(Restart),
정지(Suspend) 등이 가능하다. 자기 보호 기능이 있는 보안 프로그램은 강제 종료가 불가능할 수 있다.
⒠ 기본 화면에서는 메모리의 사용량 등을
파악할 수 없으므로, “View” 메뉴에서 “Select Columns”를 선택하여 컬럼을 추가하면 된다. 그리고 “System
Information”을 선택(혹은 메인 화면 오른쪽 상단의 그래프 클릭)하면 “Windows 작업관리자”의 “성능” 탭에서과 같이 CPU
점유율과 메모리의 사용량을 그래프로 볼 수 있다.
⒠-1. 먼저, “View →
Select Columns → Process Memory”에서 “Working Set Size”와 “Peak Working Set Size”를
선택하게 되면 사용중인 메모리와 최대 상승치 등을 파악할 수 있다. 그리고 Process Performance 탭에서는 쓰레드(Threads),
핸들(Handle Count) 등을를 선택할 수 있다(아래 예제에서는 제외).
⒠-2. 다음으로, “View → System Information”를 선택하면 CPU
점유율과 메모리 (전체) 사용량 등을 그래프로 확인할 수 있다. 아래 예제는 ESET NOD32 3.0 Antivirus로 수동 검사를 진행했던
과정이다. 수치는 달라질 수 있으므로 유의하기 바란다. 아무튼 CPU 점유율이나 메모리 사용량 등을 살펴보면 프로그램 파악에 도움이
될 것이다. 참고적으로 컴퓨터 사용 환경은 이 글 하단의 CPU-Z의 정보를 참조하기 바란다.
⒠-3. 그런데 사용하는 CPU의 코어가
1개 이상일 경우에는 개별적으로 파악하는 것도 가능하다. 선택 방법은 왼쪽 하단의 “Show one Ggaph per CPU”를 체크하면
된다.
⒡ Process Explorer의 메인
화면에서도 CPU의 사용량과 메모리 사용량을 수치로 파악할 수 있다. 물론 이 수치는 얼마든지 달라질 수 있으므로 캡쳐한 그림에 대해 오판하지
않도록 유의하기 바란다.
※ 참조 : 아래 그림은 위의 ESET
NOD32 안티 바이러스 프로그램에서 수동 검사를 진행한 컴퓨터의 CPU-Z 정보이다.
3. 보안과 관련하여 Process Explorer 활용
방법
Process Explorer 프로그램을 이용할 경우, 1차적으로 눈을 통해 이상한 프로세스를
파악할 수 있으며, 2차적으로 개별 프로세스의 속성 확인이나 의심가는 파일을 검색하여 조치가 가능하다. 그러나 후자의 방법은 일반적으로 쉽지는
않을 것이다.
⒜ 위에서도 언급했다시피 프로세스를
눈으로 쉽게 파악할 수 있는 경우, 바이러스나 스파이웨어 등의 활동을 파악할 수 있고 프로세스를 강제 종료(Kill Process)시킬 수
있다. 하위 프로세스까지 종료할 경우에는 Kill Process Tree를 선택하면 된다. 그러나 시스템 깊숙히 침투한 경우에는 단순히
프로세스를 종료하는 것만으로는 해결할 수 없는 경우도 있다. 또는 눈으로 파악할 수 없는 경우도 있을 것이다.
⒝ 프로세스의
속성(Properties)을 선택(메인 화면의 아이콘 클릭, 혹은 마우스 오른쪽 버튼 활용, 또는 원하는 프로세스 더블 클릭)하게 되면 해당
프로세스에 대한 상세 내용을 파악할 수 있다. 아래 예제는 편의상 코모도 방화벽의 cfp.exe를 예로 들어 보았다. 정상적인 경우가 아니라면,
경로가 이상하거나 필수 정보가 제대로 표기되지 않을 것이다.
⒞ 의심가는 파일을 정확하게 찾을 수
없는 경우 메인 아이콘의 쌍안경 아이콘을 클릭하거나 “Find → Fine Handle or DLL”을 선택하여 검색할 수 있다. (※ 참고 :
아래 4-⒞ 참조)
⒟ 자신의 컴퓨터에서 실행중인 프로그램의 프로세스를 잘 알 수 없다면 메인 화면의 “Fine
Window's Process” 아이콘을 드래그하여 원하는 프로그램 위에 올려놓으면 알 수 있다(해당 프로세스는 파란색 배경으로 표시). 만약
스파이웨어와 같은 악성 프로그램이라면 프로세스를 강제 종료시키는 등의 조치를 취할 수 있다. 그러나 모든 경우에 있어서 실행중인 프로세스를
파악하기에는 적당하지 않은 것으로 보인다.
⒠ System Information
화면(메인 아이콘 클릭, 혹은 화면 오른쪽 상단의 그래프 클릭)에서는 CPU 사용량(Usage) 등을 확인할 수 있다. 활동중인 프로세스의
확인은 그래프 위에 마우스를 올리면 된다. 만약 특정 부분이 심하게 치솟거나 혹은 과다하게 CPU를 점유하는 경우, 의심 여부를 판단하는 데
도움이 될 것이다.
4.
기타
⒜ Process Explorer의 Options 메뉴에서 Replace Task Manager를
선택하게 되면 윈도우 운영체제의 작업 관리자를 대체하게 된다. 그러나 오류가 발생할 경우 문제의 여지가 있으므로 권장하지는
않는다.
⒝ 화면의 왼쪽 부분의 process를
클릭하면 트리 형태, ABC순으로 정렬 등이 가능하다.
⒞ View 메뉴의 Show Lower
Pane을 선택(혹은 아이콘 클릭)하면 화면을 상하로 나눌 수 있으며, 마찬가지로 View 메뉴의 Lower Pane View에서 보여지는
내용(DLLs, Handles)을 선택할 수 있다. 아래에서는 Handles을 파악하여, 휴지통에 위장한 바이러스(isys32.exe)를 찾아낸
것이다(속성을 보거나 Handle 닫기 가능).
⒟ 화면의 내용은 메인 화면에서 디스켓
모양을 클릭하거나 File 메뉴에서 Save 혹은 Save As를 선택하면 텍스트 파일로 저장이 가능하다.
5. Windows Vista나 Windows 7 등에서 UAC(사용자 계정 컨트롤)을 사용할
경우, 일반적인 경우 프로세스 관련 정보가 누락될 수 있으므로, 관리자 권한으로 실행(Run as administrator)할 필요가 있다.
이하 Windows 7 기준이다. (내용 추가 : 2009.07.15.)
① 관리자 권한으로 실행하지 않았을 경우
:
② 관리자 권한으로 실행했을 경우 :
(작성 : http://blog.naver.com/hahaj1)
'Windows > 윈도우 공통' 카테고리의 다른 글
| 파일옮기기2 - beyond compare (상용, 쉐어웨어) (0) | 2013.08.14 |
|---|---|
| 파일 옮기기 - beyond compare랑 비슷한 diff merge (0) | 2013.08.14 |
| 프로세스 익스플로러 사용법 #1 (0) | 2013.07.29 |
| Windows 시리즈 보안취약점 보완을 위한 정책강화 방법 (0) | 2013.06.27 |
| 윈도우 서비스 지원 종료 기간 검색 (EOS, 만료) (0) | 2013.04.17 |