TCPView

1. TCPView 개요
Tcpview는 윈도우 시스템에서 현재 네트워크를 통해 연결을 맺고 있는 모든 프로그램들의 프로세스와 TCP/UDP 연결 정보들을 보여 준다. 이 프로그램을 통해서 어떤 프로그램 프로세스가 네트워크 자원을 많이 사용하고 있는 지를 파악할 수 있고 특히 비정상적으로 많은 네트워크 연결을 지속적으로 시도하는 웜과 같은 프로세스들을 확인할 수 있다. 내 PC에서 본인이 인터넷 브라우져나 파일 공유와 같은 프로그램으로 사용하고 있지 않은데도 작업관리자의 네트워킹에서 트래픽이 지속적으로 발생하고 있다면 이 TCPView 프로그램을 이용하여 어떤 프로그램이 모르게 실행되고 있는 지를 확인할 수 있다.

2. 다운로드

http://technet.microsoft.com/en-us/sysinternals/default.aspx 사이트에 TCPView를 다운로드 받을 수 있다.

3. 사용방법

Tcpview.zip 파일을 임의의 디렉토리에 압축을 푼 다음 해당 디렉토리로 이동하여 tcpview.exe 파일을 두 번 클릭하여 실행시킨다.
그러면 아래와 같은 창이 뜨면서 현재 네트워크 연결 상태와 프로세스 정보를 보여주게 된다.

초기 실행 시 화면의 폰트 크기가 작아서 잘 보이지 않기 때문에 Options' Font 를 선택해서 8 크기를 선택한다.

아래 화면에서 보면  payment.exe라는 실행파일이 실행되어 외부로 많은 메일을 발송하고 있다.

이와 같이 화면을 통해 비정상적으로 많은 연결을 만들어 내고 있는 프로세스가 있다면 아래 그림과 같이 해당 프로세스를 선택하고 우측 마우스버튼을 클릭하여 'Process Property'를 선택하여 의심스러운 프로세스의 실행파일을 확인한 다음 'End Process'를 선택하여 문제를 일으키는 프로세스를 종료시킨다.

프로세스를 정지시킨 이후에는 문제의 실행파일을 "Process Properties"로 확인한 경로로 가서 삭제하여 시스템 재 시작 시 재 기동되지 않도록 하여야 한다. 

[출처] 보안분석도구사용법-TCPVIEW 사용법|작성자 넷닥터