[Tool] Procmon (프로세스 모니터링)

1. Procmon이란?

Procmon(Process Monitor)은 Microsoft Sysinternals Suite에 포함된 강력한 모니터링 툴이다.
Windows 운영체제에서 실행되는 프로세스, 레지스트리, 파일, 네트워크 활동을 실시간으로 추적할 수 있어 보안 분석, 악성코드 탐지, 취약점 검증에 널리 사용된다.

---

2. Procmon의 주요 기능

• 실시간 모니터링: 프로세스 생성, DLL 로딩, 레지스트리 접근, 파일 입출력 추적.
• 필터링: 특정 프로세스나 이벤트만 추려낼 수 있어 분석 속도를 높임.
• 로그 저장 및 분석: 캡처한 이벤트를 .PML 파일로 저장 후 재분석 가능.
• 스택 추적(Stack Trace): 이벤트 발생 시 호출 스택을 확인, DLL 하이재킹·인젝션 등 분석에 활용.

---

3. Procmon 설치 및 실행

1. Microsoft Sysinternals 공식 사이트에서 다운로드.(https://learn.microsoft.com/en-us/sysinternals/)
2. Procmon.exe 실행 (설치 불필요).
3. 관리자 권한 실행 권장 – 시스템 전역 이벤트를 수집 가능.

---

4. 기본 사용법

(1) 실행 후 초기 화면

• 실행하면 수천 개의 이벤트가 실시간으로 쏟아집니다.
• 그대로 두면 노이즈가 많아 분석 불가 → 필터링이 핵심.

(2) 단축키 및 Filter

• Ctrl+E 이벤트 수집중지, 실행
• Ctrl+L Filter 설정
• Ctrl+X 이벤트 수집목록 삭제 

(3) 주요 열(Column)

• Process Name: 어떤 프로세스가 동작했는지
• Operation: 이벤트 종류 (RegOpenKey, CreateFile 등)
• Path: 접근한 파일/레지스트리 경로
• Result: 성공 여부 (SUCCESS, ACCESS DENIED 등)

procmon Filter설정

다음사진은 보고싶은 Process 중심으로 is Include로 설정해놓고 (exe파일이나 애플리케이션들)

Result contains NAME NOT FOUND → Result에 NAME NOT FOUND 같은 문자열이 포함된 모든 이벤트를 포함(Include)

→  즉, 파일/레지스트리 등 찾지 못한 모든 이벤트가 보인다.(그 대상이 DLL이든 아니든 상관없음).

Path contains dll → Path에 dll 문자열이 포함된 모든 이벤트를 포함(Include) 하겠다는 뜻.
→ 즉, .dll 경로와 관련된 모든 이벤트(성공/실패 가리지 않음) 도 보인다.

한마디로 모든걸 정리하면 내가 정한 프로세스들의 Result가 NOT FOUND인 모든 것 OR Path에 dll이 포함된 모든 것을 볼 수있다.

 

---

5. 보안 필터 샘플들

A. DLL 하이재킹 / 의심스러운 DLL 로드 시도

1. Operation is Load Image → Include
2. Path contains .dll → Include
3. Result is NAME NOT FOUND → Include (실패 시의 단서)
4. Path contains \Temp\ → Include (임시폴더에서 로딩 시도)
5. Result is SUCCESS → Exclude (성공은 별도 검토)

B. 임시폴더 / 외부 경로에 실행파일 생성(악성 유입 의심)

1. Operation is CreateFile → Include
2. Path contains \Temp\ → Include
3. Path contains .exe → Include

C. 민감정보(평문) 저장 흔적 찾기

1. Operation is WriteFile → Include
2. Path contains \log\ OR Path contains \config\ OR Path contains .txt → Include
   → 캡처 후 해당 이벤트 더블클릭 → Detail에서 쓸모있는 문자열(암호·토큰) 확인

D. 권한/접근 문제(권한 설정 취약점 징후)

1. Result is ACCESS DENIED → Include
2. Operation is RegOpenKey OR Operation is CreateFile → Include

E. 프로세스 주입 / 원격 쓰기 의심

1. Operation is OpenProcess → Include
2. Operation is WriteProcessMemory → Include
3. Operation is CreateRemoteThread → Include

F. 시작항목/서비스 변조(영구화 시도)

1. Operation is RegSetValue → Include
2. Path contains Software\Microsoft\Windows\CurrentVersion\Run → Include
3. Path contains Services → Include

G. Named Pipe 관련

1. Path contains \\.\pipe\ → Include
2. Result is SUCCESS or ACCESS DENIED → Include

---