Sysinternals Process Explorer 도구를 이용하여 필요없는 프로세스 찾는 방법

네이버(Naver) 지식인을 보다보면 이런 질문을 상당히 많이 볼 수 있습니다.

필요없는 프로세스를 알려주세요.
지워도 되는 프로세스를 알려주세요.
감염된 프로세스를 알려주세요.

 

이런 질문과 함께 공통적으로 제시하는 스크린 샷이 바로 윈도우에서 제공하는 "Windows 작업 관리자"입니다.

먼저 해당 질문들을 보면서 느끼는 점은 어떤 컴퓨터 천재도 프로세스(Process) 명칭을 보고 불필요한 프로세스인지, 감염된 프로세스인지를 명확하게 확인해 줄 수 없으며, 정작 이 프로세스를 삭제하라고 하여도 질문자가 과연 앞으로 해당 프로세스가 더 이상 동작하지 않도록 삭제할 능력이 있는지도 의문입니다.

그렇다면 초보자가 자신의 컴퓨터에서 동작하는 프로세스에 대한 더 정확한 정보를 확인할 수 있는 방법이 무엇인지 마이크로소프트(Microsoft)에서 제공하는 Sysinternals Process Explorer 도구를 이용하여 알아보도록 하겠습니다.

<마이크로소프트> Sysinternals Process Explorer 다운로드 페이지

해당 툴은 마이크로소프트 개발자가 무료로 제공(무설치판)하는 것으로 실제 보안업체에서도 이용되는 유용한 프로그램으로 알고 있습니다.

위에서 제시한 작업 관리자의 프로세스를 살펴보면 실제 악성코드로 인해 생성된 프로세스의 경우 제작자가 이름을 짓기 나름이며, 정상적인 프로세스에 삽입(Injection)되어 외관상 감염 여부를 알 수가 없습니다. 또한 svchost.exe 프로세스와 같이 동일한 이름을 가진 경우도 존재할 수 있다는 점도 유념해야 합니다.

프로그램을 실행하면 위와 같이 Windows 작업 관리자에서 볼 수 없었던 각 프로세스의 파일 경로, 버전 등 다양한 정보를 확인할 수 있습니다.

기본적으로 자신이 확인할 프로세스의 경로를 확인하고 해당 프로세스를 종료한 상태에서 파일을 삭제 처리를 할 경우 더 이상 해당 프로세스는 동작하지 않는다고 이해를 하시면 됩니다.

이제 위에서 동일한 프로세스 이름으로 다수의 프로세스가 생성되었던 svchost.exe 프로세스의 정보를 확인하는 방법을 알아보겠습니다.

먼저 기억할 부분은 모든 프로세스는 PID(Process Identifier ; 프로세스 식별자)를 할당 받습니다.

Windows 작업 관리자에서는 PID 정보까지는 확인할 수 있으므로 자신이 확인할 svchost.exe 프로세스의 PID와 Process Explorer에서 제시하는 PID 정보를 확인하여 해당 프로세스의 기능을 확인할 수 있습니다.

일반적으로 svchost.exe 프로세스는 컴퓨터에서 동작하는 서비스 등록 관련 정보를 담고 있습니다. 수많은 서비스 항목으로 인하여 실제 정상적인 컴퓨터에서도 svchost.exe 프로세스가 4~5개 또는 그 이상 생성될 가능성이 있으며, 사용자가 설치하는 프로그램으로 인하여 서비스에 등록되는 추가적인 정보 또는 프로세스가 포함(추가)될 수 있습니다.

사용자가 특정 프로세스의 더 자세한 정보를 확인하기 위해서는 위와 같이 특정 프로세스를 선택하고 Lower Pane 단추를 클릭하여 해당 프로세스와 관련된 dll 등록 파일 정보를 확인할 수 있습니다.

만약 악성코드로 인하여 특정 프로세스 내부에 삽입된 dll 파일이 존재할 경우 해당 항목에서 확인을 할 수 있는 장점이 있습니다.

이번에는 특정 프로세스를 실제 종료하거나 정상적인 프로세스 내부에 삽입된 특정 값을 제거하는 방법은 해당 프로세스의 핸들러(Handle) 단추를 클릭하여 정보를 확인하여 제거하실 수 있습니다.

이 방법은 전문적인 일정 지식을 가지지 않은 상태에서 시도시 윈도우 시스템을 불안정하게 할 수 있으므로 주의하셔야 합니다. 또한 악성코드가 자기 보호 기능이나 Process Explorer 프로그램 자체를 실행하지 못하게 방해하는 동작을 할 수 있으므로 이런 방법이 만능은 아니라는 점도 유념하셔야 할 것 같습니다.

지식인에서 일반적인 초보자가 질문을 할 경우 단순히 작업 관리자를 이용하여 질문하는 것은 전혀 원하는 답을 얻을 수 없을 뿐더러, 문제의 프로세스를 지적하여도 단순히 수동적으로 1회성 종료로 만족하는 행동은 효과적인 컴퓨터 관리 방법은 아닐 것입니다.

위와 같은 전문 프로세스 관리 프로그램을 이용하여 더 자세한 정보를 통해 질문을 하고 얻은 정보를 바탕으로 자신이 해결할 수 있는 기본적인 컴퓨터 관리 능력을 기르는 것도 좋은 방법이 아닐까 생각됩니다.