시스템 파일 보호 – WFP(Windows File Protection) WRP(Windows Resouce Protection)

비스타의 경우 기존에 제공한 WFP(Windows File Protection) 기능 이외에도, WRP(Windows Resouce Protection)기능을 통해 추가로 보호하고 있다.

먼저 WFP는 윈도우 2000시절 적용된 기술로써, SFC(System File Checker)의 기능중 시스템 파일 감시(Sfc_os.dll)를 이용하여, Winlogon에 주요 시스템 디렉토리들을 모니터링하여 해당 파일이 정상 버전이 아닌경우 설치 원본 파일로 교체하는 기능을 말한다.

이 기능은 아래와 같이 Winlogon에서 동작하게 되는데,

(덮어쓰기 이후 몇초 후 SFC에 의해 정상 파일로 자동 교체 된다.)

[그림]SFC 기능에 의해 자동 복원된다.

이러한 SFC는 앞서 애기했듯이 Winlogon에 의해 감시되는데 아래 쓰레드를 종료할 경우 SFC기능은 무력화 된다. 이외에도 SFC를 비활성화 할 수 있는 방안이 공개 되어 있으므로 아래 링크를 확인해 보기 바란다. http://support.microsoft.com/kb/222473/ko

[그림]윈도우 XP에서 Process Explorer로 확인한 Winlogon 동작중인 SFC 쓰래드

윈도우 7에서는 기존 방식과 달리, WRP(Windows Resource Protection)이라는 방법을 통해 시스템 리소스를 보호하는데 바로 윈도우 시스템 디렉토리의 경우 파일 권한과 소유자를 Administrator가 아닌 별도의 TrustedInstaller SID이 가지고 있다.

[그림] 관리자 역시 읽기와 실행만 가능하다.

이 WRP에 사용되는 계정은 TrustedInstaller SID로 실행되는 윈도우 모듈 인스톨러 서비스(Windows Modules Installer Service)를 통해서만 가능하며, Update.exe, Hotfix.exe를 사용한 서비스팩 및 핫픽스 설치와 온라인 윈도우 업데이트 서비스가 본 서비스를 이용할 수 있다. 즉 중요 파일의 계정을 따로 두어 관리자라도 시스템 디렉토리 새로운 파일을 설치할 수는 있지만 시스템 파일을 변경할 수 없도록 하였다.

[그림]관리자 권한으로도 파일을 덮어쓸 수 없다.

그리고 윈도우 2000부터 제공하는 SFC는 비스타이후에서는 실시간으로 변경유무를 검사하지 않고 수동으로 시스템 파일이 변경되었는지 확인할 수 있는 용도로 사용할 수 있다.(수동 검사 기능은 윈도우 2000시절부터 존재한다.)

시스템 파일 보호 – WFP(Windows File Protection) WRP(Windows Resouce Protection)

[그림] SFC를 수동으로 실행하여, 주요시스템 파일의 검사하거나 복원 가능

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.