성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>실행된 프로세스(EXE)의 명령행 인자를 확인하고 싶다면 - Sysmon</h1> <p> 근래에 나온 sysinternals의 새로운 도구가 바로 Sysmon입니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Sysinternals New Tool Sysmon (System Monitor) ; <a target='tab' href='http://www.darkoperator.com/blog/2014/8/8/sysinternals-sysmon'>http://www.darkoperator.com/blog/2014/8/8/sysinternals-sysmon</a> </pre> <br /> 물론, 마이크로소프트로부터 다운로드할 수 있고.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Sysmon v1.0 ; <a target='tab' href='https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon'>https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon</a> </pre> <br /> 명령행 도움말이 제공되지만,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Usage: Install: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n] Configure: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--] Uninstall: Sysmon.exe -u -c Update configuration of an installed Sysmon driver or dump the current configuration if no other argument is provided. -h Specify the hash algorithm used for image identification (default is SHA1). -i Install service and driver. -m Install the event manifest (done on service install as well). -n Log network connections. -u Uninstall service and driver. </pre> <br /> 그냥 간단하게 다음과 같이 실행해서 서비스 설치를 할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > sysmon -i -accepteula </pre> <br /> 그럼 NT 서비스로 늘 실행하는 형태로 등록됩니다.<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='sysmon_test_1.png' src='/SysWebRes/bbs/sysmon_test_1.png' /><br /> <br /> 이후로 실행되는 모든 EXE 프로세스는 명령행 정보와 함께 이벤트 로그의 "Event Viewer" / "Applications and Services Logs" / "Microsoft" / "Windows" 하위에 있는 "Sysmon" 폴더에 기록됩니다.<br /> <br /> 가령, 다음은 그 한 예입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Log Name: Microsoft-Windows-Sysmon/Operational Source: Microsoft-Windows-Sysmon Date: 2014-08-16 오후 4:46:35 Event ID: 1 Task Category: (1) Level: Information Keywords: User: SYSTEM Computer: TESTPC2 Description: Process Create Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" /> <EventID>1</EventID> <Version>2</Version> <Level>4</Level> <Task>1</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2014-08-16T07:46:35.553829500Z" /> <EventRecordID>21</EventRecordID> <Correlation /> <Execution ProcessID="14896" ThreadID="10820" /> <Channel>Microsoft-Windows-Sysmon/Operational</Channel> <Computer>TESTPC2</Computer> <Security UserID="S-1-5-18" /> </System> <EventData> <Data Name="UtcTime">2014-08-16 오전 7:46</Data> <Data Name="ProcessGuid">{00000000-695B-53EC-0000-0010F8037708}</Data> <span style='color: blue; font-weight: bold'><Data Name="ProcessId">9264</Data></span> <Data Name="Image">C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\bin\rc.exe</Data> <span style='color: blue; font-weight: bold'> <Data Name="CommandLine">"C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\bin\rc.exe" /D _DEBUG /D _WINRES_COMPILE /D _USING_V110_SDK71_ /D _UNICODE /D UNICODE /l0x0409 /IDebug\ /v /foDebug\TestApp.res TestApp.rc</Data></span> <Data Name="User">TESTPC2\TestUser</Data> <Data Name="LogonId">0x57389</Data> <Data Name="TerminalSessionId">1</Data> <Data Name="IntegrityLevel">Medium</Data> <Data Name="HashType">SHA1</Data> <Data Name="Hash">CA1BE77C3DE643909A8999E3FBFC2EC91EBD07EA</Data> <Data Name="ParentProcessGuid">{00000000-695B-53EC-0000-0010C4027708}</Data> <span style='color: blue; font-weight: bold'><Data Name="ParentProcessId">8072</Data></span> <Data Name="ParentImage">C:\Program Files (x86)\MSBuild\12.0\bin\Tracker.exe</Data> <span style='color: blue; font-weight: bold'> <Data Name="ParentCommandLine">"C:\Program Files (x86)\MSBuild\12.0\bin\Tracker.exe" @"C:\Users\...\AppData\Local\Temp\tmp05760d77f1134cae8e78bc199ac2e639.tmp" /c "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\bin\rc.exe" /D _DEBUG /D _WINRES_COMPILE /D _USING_V110_SDK71_ /D _UNICODE /D UNICODE /l"0x0409" /IDebug\ /v /fo"Debug\TestApp.res" TestApp.rc</Data></span> </EventData> </Event> </pre> <br /> 보시는 바와 같이, 꽤나 흥미로운 정보가 2가지 있습니다. 바로 해당 프로세스의 명령행과 그것을 실행시킨 부모 프로세스의 명령행 정보입니다.<br /> <br /> 기존의 "Process Explorer"에서는 현재 실행 중인 응용 프로그램에 대해서만 명령행 정보를 확인할 수 있었는데, sysmon을 이용하면 반짝하고 실행이 금방 종료되는 경우에도 가능해졌다는 차이가 있습니다. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 참고로, 위의 예제에서 든 rc.exe 컴파일의 경우 비주얼 스튜디오의 Output 창에서 명령행 정보를 확인하는 방법이 있는데요. "TOOLS" / "Options" 메뉴에서 "Projects and Solutions" / "Build and Run" 범주의 "MSBuild project build output verbosity" 항목을 "Detailed"로 설정해 주고,<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='sysmon_test_2.png' src='/SysWebRes/bbs/sysmon_test_2.png' /><br /> <br /> 해당 Visual C++ 프로젝 속성 창에서 역시 "Configuration Properties" / "Resources" / "General" 범주로 이동해 "Show Progress" 옵션을 켜두면,<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='sysmon_test_2.png' src='/SysWebRes/bbs/sysmon_test_2.png' /><br /> <br /> 이후의 컴파일에서 rc.exe 실행 및 그것의 명령행 정보까지 모두 Output 창에서 확인할 수 있습니다.<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
2130
(왼쪽의 숫자를 입력해야 합니다.)