Tag Archives: 윈도우

윈도우 레지스트리 완벽 삭제 – Registry defragmentation

윈도우 레지스트리 완벽 삭제 – Registry defragmentation 삭제된 레지스트리를 완벽하게 지울 수 있는 방법은 삭제한 빈공간의 데이터를 지워주면 된다. 이를 지원해 주는 도구들이 있는데 바로 레지스트리 조각 모음 도구들이다. 레지스트리 조각모음 도구들은 무료로 많이 제공하므로 확인해 보기 바란다. 필자는 Auslogics사에서 무료로 제공하는 Registry defrag를 이용하여 레지스트리 조각 모음을 진행한다. http://www.auslogics.com/en/software/registry-defrag/ 에서 다운로드하여 사용할 수 있다.

Read More

윈도우 삭제된 레지스트리 확인 – regslack

윈도우 삭제된 레지스트리 확인 – regslack 파일 분석시 실제 내용을 지우지 않고 덮어쓰듯이 레지스트리 역시 삭제 플래그만 표시하고, 새로운 데이터가 덮어써 지기 전까지 사용되지 않는 공간에 남아있게 된다. 이를 틈새 공간(Slack space)라고 하며, 이 영역을 조사하여, 삭제한 정보를 확인할 수 있다. 해당 툴은 http://regripper.net 에서 다운로드 가능하였으나 현재 더 이상 운영되고 있지 않은 관계로, https://asecurity.so

Read More

윈도우 계정 패스워드 보호 – pwddump Ophcarck

앞 SAM에서 애기하였지만 윈도우에서는 패스워드를 LM Hash와 NT Hash로 SAM파일에 보관하게 된다. 해당 정보는 윈도우를 실행하고 있는 상황에서는 일반적으로 확인할 수 없도록되어 있다. 여기서 해당 정보를 확인하고 계정의 패스워드를 확인하는 방법과 보호하는 방법을 알아보자. 만약 여러분이 계정의 패스워드를 잃어 버렸을 경우 가장 간편한 방법은 윈도우PE 시디를 이용하거나 다른 드라이브에 별도의 운영체제로 부팅을 통해 기존 드라이브의

Read More

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER)

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER) SAM 레지스트리에서 사용자 계정들은 어떻게 만들어지고, 관리되는 것일까? 윈도우에 계정을 생성하면 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username%\이 생성되면서 아래에 생성한 유저이름으로 키가 추가된다. 이때 계정은 고유한 8자리값(RID)을 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 아래 가지게 되는데, 윈도우 설치기 기본적인 계정(빌드인 계정)은 10진수 500부터 시작하며, 생성한 계정들은 1000이상의 값을 가지게 된다. [그림]8자리 값을 가지며, 2개의 빌드인 계정이 존재

Read More

시스템 파일 보호 – WFP(Windows File Protection) WRP(Windows Resouce Protection)

비스타의 경우 기존에 제공한 WFP(Windows File Protection) 기능 이외에도, WRP(Windows Resouce Protection)기능을 통해 추가로 보호하고 있다. 먼저 WFP는 윈도우 2000시절 적용된 기술로써, SFC(System File Checker)의 기능중 시스템 파일 감시(Sfc_os.dll)를 이용하여, Winlogon에 주요 시스템 디렉토리들을 모니터링하여 해당 파일이 정상 버전이 아닌경우 설치 원본 파일로 교체하는 기능을 말한다. 이 기능은 아래와 같이 Winlogon에서 동작하게 되는데, (덮어쓰기 이후

Read More

윈도우 로그인 관리자 Winlogon.exe

Winlogon.exe는 사용자 로그인 관련 동작을 지원하는 프로세스로써, 비스타이전 부팅시 보안 인증을 담당하는 Lsass.exe(Local Security Authority Subsystem Service, LSA라고도 함)와 서비스를 관리하는Services.exe(Service Control Manager)를 실행 하고(앞서 애기 했듯 비스타이후 부터는 Wininit.exe가 실행한다.), 유저 로그인 동작 위해 GINA(Graphical Identification and Authentication)을 호출하는 등 로그온, 로그오프 관련 기능을 수행하는 프로세스 이다. [그림]Winlogon이 호출한 GINA(msgina.dll)화면 Winlogon은 대기 시 SAS(secure

Read More

윈도우 세션 관리자 Smss.exe (Session Manager Subsystem)

Smss.exe는 Session Manager Subsystem의 약자로, 부팅 이후 최초로 생성되는 시스템 구동에 필요한 프로세스이다. (1장 후반부 성능 부분에서 Xperf를 통해 부팅 프로세스를 확인할 수는데 부팅 최초 프로세스로 확인할 수 있다.) Smss.exe는 레지스트리 정보를 확인하여, 먼저 기본 실행 파일(…\Session Manager\BootExecute)을 확인하여 실행하게 된다. (기본적으로는 autochk, 디스크검사가 실행된다.) 그리고 시스템 환경 설정을 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment)에서 확인하고 설정에 맞게 초기화

Read More