컴소니/윈도우

[윈도우] 프로세스 확인 방법 - WMIC(윈도우 관리도구 명령)

금소니 2023. 2. 14. 17:11
반응형

#253

1. WMIC(Windows Management Instrumentation Command-line)이란?

윈도우를 관리하는 도구를 명령 줄 인터페이스로 제공하는 유틸리티로써 다양한 시스템 정보를 명령어를 통하여 확인할 수 있습니다.

- 마이크로소프에서 제공하고 있는 공식 문서

 

wmic

대화형 명령 셸 내에 WMI 정보를 표시하는 wmic에 대한 참조 문서입니다.

learn.microsoft.com

바이오스부터 시작해서 프로세스 유저 정보 등 다양한 정보를 확인할 수 있으며, 저희는 프로세스와 관련된 부분만 확인해보도록 하겠습니다.

2. 실행방법

1) CMD -> wmic process 

2) CMD -> wmic 입력 후 process 입력

 

3. 확인할 수 있는 항목

아래와 같이 단순하게 실행했을 때는 워낙 많은 내용들을 포함하고 있어 보기도 힘들고 어떤 정보를 봐야할 지 어렵습니다.

제가 WMIC을 통하여 확인하는 항목과 방법에 대해서 말씀드리도록 하겠습니다.

 

먼저 제가 WMIC을 통해 프로세스에 대해 확인하는 항목은 아래와 같습니다.

 

프로세스명, PID, PPID, 우선순위, 명령어, 프로세스 생성 일시, 상태

 

그리고 WMIC에서는 해당 결과를 특정 파일 포맷형태로 출력할 수 있습니다.

 

그래서 출력 형태는 HTML 형태로 출력을 하여 확인합니다.

 

위에 항목과 방법들을 명령어로 표현하면 아래와 같습니다.

wmic process get Name, ParentProcessID, ProcessId, Priority, CommandLine, CreationDate, ExecutionState /format:hform > process.html

출력한 결과를 보면 한 눈에 보기 쉽게 확인하실 수 있습니다.

출력된 결과 중에서 cmd.exe에 대한 결과를 보면서 간단히 설명을 드리도록 하겠습니다.

1) CommandLine : 해당 프로세스를 실행하는데 사용된 명령어입니다.

2) CreationDate : 프로세스 생성 일시입니다. 2023년 2월 10일 10시 16분 23초네요.

3) ExecutionState : 실행상태를 알려주는 데이터인데 모두 NULL값을 가지고 있습니다.

4) ParentProcessId : 부모의 PID입니다. CMD의 경우 부모 프로세스가 explorer.exe네요.

5) Priority : 프로세스의 우선순위입니다.

6) ProcessId : 고유의 PID값입니다.

 

위의 정보들을 통하여 동작하고 있는 프로세스의 비정상 유무를 파악할 수 있습니다.

 

혹시라도 악성코드에 감염되여 임의로 실행되는 프로세스를 파악하는데 큰 도움이 되겠죠?

 

WMIC 도구는 프로세스를 확인하는 것 외에 다양한 정보를 확인할 수 있어 조금 더 공부를 해봐야겠습니다.

반응형