C/C++로 풀어보는 윈도우 구조

영어 공부할 때 단순 암기가 아닌 원리를 이해하는 방법으로 프로그램 개발과 분석을 공부합니다.

Read More

Server Log Collector

You can get easy and powerful control host system by Server Log Collector. Check light now.

Read More

DNSClush

Analyze malware visit user and Achive DNS log. And it's help collect to central log.

Read More

NT 날짜 방식 계산

NT 날짜를 저장하는 방식은 1601년을 기준으로 현재 시간을 초단위로 나타난 것이 된다. (실제 값은 초단위 보다 더 세부적으로 나눈다.) 단위는 다음과 같다. 10,000,000 = 1초 6A AA AE DO 6A C7 CC 01를 계산하면 129697750868470378이 나오며 이 값을 1601년 1월 1일 0시 0분 0초을 기준으로 계산하면 된다. 이러한 계산을 쉽게 도와주는 툴도 여렷 존재한다. [그림]

Read More

Active directory 머신 SID 찾기, 변경하기 – Psgetsid, Newsid, Sysprep

우리는 Active directory라는 도메인 환경 운영체제에 대해 알고 있다. 이때도 SID를 이용하여 고유한 머신을 구분하게 된다.(즉 동일 도메인에서는 중복되는 SID를 사용하여서는 않된다.) 따라서 Active directory 가입시 단순 클론식의 복제를 할 경우 SID가 동일 하여 문제가 발생 하게 된다. 그럼 이 머신의 SID는 어디 있는것일까? 바로 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\V 값중 마지막 12 바이트를 통해 값을 확인 할 수

Read More

윈도우 보안 관리자 Lsass.exe(Local Security Authority Subsystem Service) – SRM(Security Reference Monitor), LSA(Local Security Authority)

Local Security Authority Subsystem Service의 약자로, 줄여서 LSA(Local Security Authority)라고도 하며, 사용 인증과 관련하여 밀접한 관련이 있다. %Systemroot%\System32\Lsass.exe로 실행되는 유저모드 프로세스로써, 로컬 시스템 보안 정책, 사용자 인증, 이벤트 로그로 보안 감사 메시지 전달등, 윈도우의 전반적인 보안처리를 담당한다. 이러한 서비스 관리는 아래 Lsasrv.dll(%Systemroot%\System32\lsasrv.dll)에서 구현된다. 그리고 LSA 관련 설정은 아래 레지스트리 위치 에서 확인 할 수 있다.

Read More

SAM(Security Accounts Manager), 캐시된 로그온 정보?

이는 도메인 서비스 환경에서 사용자가 도메인 서비스에 연결이 되지 않을 때, 특정 횟수 동안 도메인 연결없이 기존 로그인한 정보를 토대로 시스템에 로그인을 허용하는 것을 말한다. 즉, 기존 로그인 성공한 계정을 통해 일정 횟수동안 패스워드가 맞다면, 도메인 연결이 되지 않아도 로그인을 할 수 있다.   이는 보안상으로 볼때는 좋지 않으나, 사용자 입장에서 네트워크가 불가능 할 때

Read More

시스템 파일 보호 – WFP(Windows File Protection) WRP(Windows Resouce Protection)

비스타의 경우 기존에 제공한 WFP(Windows File Protection) 기능 이외에도, WRP(Windows Resouce Protection)기능을 통해 추가로 보호하고 있다. 먼저 WFP는 윈도우 2000시절 적용된 기술로써, SFC(System File Checker)의 기능중 시스템 파일 감시(Sfc_os.dll)를 이용하여, Winlogon에 주요 시스템 디렉토리들을 모니터링하여 해당 파일이 정상 버전이 아닌경우 설치 원본 파일로 교체하는 기능을 말한다. 이 기능은 아래와 같이 Winlogon에서 동작하게 되는데, (덮어쓰기 이후

Read More

윈도우 파일 권한/소유자 변경 명령어 – Takeown Cacls

권한과 소유자를 명령어를 통해서도 구현할 수 있도록 Takeown, Cacls 명령을 통해 통제 할 수 있다. 먼저 Cacls에 대해 확인해보자 Cacls는 명령창을 통해 파일의 권한을 변경할 수 있다. 본 명령은 여러 파일을 서로 다른 권한으로 변경하여야 하거나, 여러 컴퓨터에 적용시 유용한 명령어이다. [그림] 비스타부터 Cacls와 Icacls 함께 제공 Icacls는 권한 변경뿐만 아니라 현재 권한 내용을 파일로

Read More

윈도우 로그인 관리자 Winlogon.exe

Winlogon.exe는 사용자 로그인 관련 동작을 지원하는 프로세스로써, 비스타이전 부팅시 보안 인증을 담당하는 Lsass.exe(Local Security Authority Subsystem Service, LSA라고도 함)와 서비스를 관리하는Services.exe(Service Control Manager)를 실행 하고(앞서 애기 했듯 비스타이후 부터는 Wininit.exe가 실행한다.), 유저 로그인 동작 위해 GINA(Graphical Identification and Authentication)을 호출하는 등 로그온, 로그오프 관련 기능을 수행하는 프로세스 이다. [그림]Winlogon이 호출한 GINA(msgina.dll)화면 Winlogon은 대기 시 SAS(secure

Read More

서브시스템 관리자 Csrss.exe (Client-Server Runtime Subsystem)

Client-Server Runtime Subsystem의 약자로, Basesrv.dll, winsrv.dll, csrsrv.dll를 로드하여 Console Windows 처리, 프로세스와 스레드 생성과 삭제, 16비트 가상 DOS 머신(VDM) 프로세스를 위한 기능 일부 및 SxS(Side-by-Side) 지원 한다. Windows Startup Process임과 동시에 서브시스템 관리 프로세스로써 중요한 위치를 차지하는 프로세스이며, 이 역시 네이티브 어플리케이션이다. 레지스트리 (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Windows키)에서 설정값을 확인할 수 있다. 그리고 CSRSS은 윈도우 서브시스템 DLL과 빠른

Read More

윈도우 세션 관리자 Smss.exe (Session Manager Subsystem)

Smss.exe는 Session Manager Subsystem의 약자로, 부팅 이후 최초로 생성되는 시스템 구동에 필요한 프로세스이다. (1장 후반부 성능 부분에서 Xperf를 통해 부팅 프로세스를 확인할 수는데 부팅 최초 프로세스로 확인할 수 있다.) Smss.exe는 레지스트리 정보를 확인하여, 먼저 기본 실행 파일(…\Session Manager\BootExecute)을 확인하여 실행하게 된다. (기본적으로는 autochk, 디스크검사가 실행된다.) 그리고 시스템 환경 설정을 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment)에서 확인하고 설정에 맞게 초기화

Read More

How to collect to windows log on graylog

1. step Download whoruevent visit to https://asecurity.so/windows-server-log-collector-who-is-use-my-system/whoruevent/ and download whoruevent.zip   2. step copy and paste in windows server Decompress that zip file, Then copy and paste to windows server. 3. step configuration whoruevent Configuration syslog_ip and collect log type in eventlog section. 4. step install whoruevent for service type Install service type, If you

Read More