liminfo

Sysinternals 레퍼런스

Windows Sysinternals 도구 모음 사용법 및 명령어 가이드

25개 결과

Sysinternals 레퍼런스 소개

Sysinternals 레퍼런스는 Microsoft Sysinternals Suite의 25개 도구를 6개 카테고리로 정리한 검색 가능한 명령어 가이드입니다. Process(Process Explorer, Process Monitor, PsExec, PsList, PsKill), 파일(Handle, Strings, SDelete, Junction, Sigcheck), 네트워크(TCPView, PsPing, Whois), 보안(PsLoggedOn, AccessChk, Autoruns, SysMon), 시스템정보(PsInfo, WinObj, RAMMap, VMMap), 디스크(DiskMon, Disk2vhd, DiskView, Contig)를 포함합니다.

각 도구 항목에는 실행 파일명, 간결한 설명, 플래그와 매개변수가 포함된 실제 명령줄 예시가 수록되어 있습니다. PsExec의 원격 명령 실행, Process Monitor의 파일/레지스트리/네트워크 이벤트 필터링, Autoruns의 VirusTotal 연동을 통한 자동 시작 프로그램 검증 등의 구체적인 사용법을 확인할 수 있습니다.

Windows 시스템 관리자, 보안 분석가, 침해 대응 전문가, IT 전문가가 Sysinternals 명령 구문에 빠르게 접근할 수 있도록 설계되었습니다. 카테고리 필터링이 가능한 검색 인터페이스로 별도의 문서 다운로드 없이 필요한 도구와 명령어를 즉시 찾을 수 있습니다.

주요 기능

  • Process Explorer, PsExec, Autoruns, TCPView, SysMon 등 25개 Sysinternals 도구 수록
  • Process, 파일, 네트워크, 보안, 시스템정보, 디스크 6개 카테고리로 체계적 정리
  • 실제 플래그 포함 명령줄 구문: psexec \\remote-pc -u admin, accesschk -wvu, sdelete -p 3
  • Sigcheck, Autoruns, Process Explorer의 VirusTotal 연동 사용 예시
  • PsExec, PsList, PsKill, PsLoggedOn, PsInfo를 활용한 원격 관리 명령어
  • RAMMap(물리 메모리 페이지 분석), VMMap(가상 주소 공간 및 메모리 누수 탐지) 메모리 분석 도구
  • Disk2vhd(물리→가상 변환), Contig(개별 파일 조각 모음) 등 디스크 유틸리티
  • 즉시 카테고리 전환이 가능한 검색/필터링 레퍼런스 인터페이스

자주 묻는 질문

이 레퍼런스에 포함된 Sysinternals 도구는 무엇인가요?

Process Explorer, Process Monitor, PsExec, PsList, PsKill(프로세스), Handle, Strings, SDelete, Junction, Sigcheck(파일), TCPView, PsPing, Whois(네트워크), PsLoggedOn, AccessChk, Autoruns, SysMon(보안), PsInfo, WinObj, RAMMap, VMMap(시스템정보), DiskMon, Disk2vhd, DiskView, Contig(디스크) 총 25개 도구를 다룹니다.

PsExec로 원격 명령을 어떻게 실행하나요?

PsExec는 원격 시스템에서 프로세스를 실행합니다. 기본 구문: psexec \\remote-pc cmd(원격 명령 프롬프트), psexec \\remote-pc -u admin -p pass ipconfig(자격 증명으로 실행), psexec -s cmd(SYSTEM 계정으로 실행). 대상 컴퓨터에서 관리자 공유(ADMIN$)가 접근 가능해야 합니다.

Process Explorer와 Process Monitor의 차이점은?

Process Explorer(procexp.exe)는 프로세스 트리, DLL/핸들 검색, CPU/메모리 그래프, VirusTotal 연동을 제공하는 고급 작업 관리자입니다. Process Monitor(procmon.exe)는 파일 시스템, 레지스트리, 네트워크 이벤트를 실시간으로 캡처하고 프로세스명/경로/작업별 강력한 필터링을 지원합니다. Explorer는 전체 개요, Monitor는 상세 이벤트 추적에 사용합니다.

Autoruns는 보안 분석에 어떻게 활용되나요?

Autoruns는 시작프로그램, 서비스, 드라이버, 스케줄 작업, 브라우저 확장 등 모든 자동 시작 위치를 표시합니다. VirusTotal과 연동하여 악성코드를 검사하고, 의심스러운 항목을 비활성화하거나 삭제할 수 있습니다. 악성코드 제거와 지속성 메커니즘의 포렌식 분석에 필수적입니다.

SysMon이란 무엇이며 어떻게 설치하나요?

SysMon(System Monitor)은 상세한 시스템 활동을 Windows 이벤트 로그에 기록하는 서비스입니다. sysmon -i sysmon-config.xml로 설치합니다. 프로세스 생성, 네트워크 연결, 파일 생성 이벤트를 추적하며, Microsoft-Windows-Sysmon 이벤트 로그에 기록됩니다. SIEM 시스템과 연동하여 보안 모니터링에 활용됩니다.

어떤 프로세스가 파일을 잠그고 있는지 어떻게 찾나요?

Handle.exe를 사용합니다: handle.exe filename.txt로 파일을 열고 있는 프로세스를 확인할 수 있습니다. handle.exe -p explorer로 특정 프로세스의 모든 핸들을 검색할 수도 있습니다. Process Explorer에서는 찾기 > 핸들 또는 DLL 찾기(Ctrl+F)로 모든 프로세스의 파일/DLL을 검색합니다.

가상머신 마이그레이션에 사용할 수 있는 디스크 도구는?

Disk2vhd는 물리 디스크를 VHD/VHDX 형식으로 변환합니다(P2V 마이그레이션): disk2vhd C: D: output.vhdx. DiskView는 파일의 물리적 위치와 단편화를 시각적으로 보여줍니다. DiskMon은 섹터 수준의 실시간 읽기/쓰기 활동을 모니터링합니다. Contig는 개별 파일의 조각 모음을 수행합니다: contig file.exe.

AccessChk로 파일 권한을 어떻게 확인하나요?

AccessChk는 파일, 레지스트리 키, 서비스의 유효 권한을 확인합니다. 예시: accesschk -wvu "Users" C:\folder(사용자 쓰기 권한 확인), accesschk -ucqv service_name(서비스 권한 확인), accesschk -uwdqs "Users" *(쓰기 가능 폴더 찾기). 보안 감사 및 권한 상승 테스트에 필수적입니다.