자신의 컴퓨터가 악성코드로인해 해킹되었는지 확인할 수 있는 방법에는 여러 가지 방법들이 있는데
오늘은 TCPView라는 프로그램을 사용해 내 컴퓨터의 자료나 중요파일들을 누군가 빼돌리거나 해킹을 하고 있지 않은지
확인할 수 있는 방법에 대해서 알려드리겠습니다
TCPView for Windows - Windows Sysinternals
Active socket command-line viewer.
docs.microsoft.com
TCPView는 위 사이트에 접속하셔서 다운로드하시면 됩니다
마이크로소프트에서 제공해주는 프로그램이므로 안심하고 사용하셔도 괜찮습니다
사이트 접속 후 TCPView 다운로드 버튼을 누르면 다운이 시작됩니다
아래 첨부된 파일도 동일한 파일입니다 편하신 걸로 받으세요
프로그램 실행화면입니다
좌측에 프로그램 아이콘과 프로세스 이름으로 표시해주고 프로세스 PID도 함께 나옵니다
여기서 해킹이 되었는지 확인하고 싶으시면 평소 사용하지 않는 프로세스의 local port와 Remote Adress 주소를 확인하시면 됩니다
주로 포트 부분이 8080 이거나 5552 이거나 4444의 경우 의심해볼 만합니다
가장 좋은 방법은 해당 프로세스가 본인이 사용하는 프로그램의 프로세스인지 확인하는 게 확실합니다
프로세스가 너무 많을 경우엔 컴퓨터를 재부팅한 다음에 다른 프로그램 실행 없이 바로 TCPView를 실행시켜서 확인하는 방법도 있습니다
프로세스를 선택 후 우클릭한 다음에 첫 번째 옵션을 클릭할 경우
해당하는 프로세스 경로 가나 오기 때문에 직접 위경로로 이동하여 확인해볼 수 있습니다
의심스러운 IP 목록을 발견할 경우 아래 사이트에서 조회해볼 수 있습니다
WHOIS Search, Domain Name, Website, and IP Tools - Who.is
See Website Information Search the whois database, look up domain and IP owner information, and check out dozens of other statistics.
who.is
또는 프로세스 항목을 우클릭해 Whois라는 메뉴를 누르거나 단축키 Ctrl+W를 사용하여 조회할 수도 있습니다
의심스러운 프로세스가 있을 경우 우클릭 옵션에서 Close Connection를 누를 경우 해당 프로세스와의 연결을
끊을 수 있습니다
의심 프로세스를 아예 종료하려면 End Process를 누르면 됩니다