Tag Archives: 윈도우

윈도우 계정 패스워드 보호 – pwddump Ophcarck

앞 SAM에서 애기하였지만 윈도우에서는 패스워드를 LM Hash와 NT Hash로 SAM파일에 보관하게 된다. 해당 정보는 윈도우를 실행하고 있는 상황에서는 일반적으로 확인할 수 없도록되어 있다. 여기서 해당 정보를 확인하고 계정의 패스워드를 확인하는 방법과 보호하는 방법을 알아보자. 만약 여러분이 계정의 패스워드를 잃어 버렸을 경우 가장 간편한 방법은 윈도우PE 시디를 이용하거나 다른 드라이브에 별도의 운영체제로 부팅을 통해 기존 드라이브의

Read More

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER)

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER) SAM 레지스트리에서 사용자 계정들은 어떻게 만들어지고, 관리되는 것일까? 윈도우에 계정을 생성하면 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username%\이 생성되면서 아래에 생성한 유저이름으로 키가 추가된다. 이때 계정은 고유한 8자리값(RID)을 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 아래 가지게 되는데, 윈도우 설치기 기본적인 계정(빌드인 계정)은 10진수 500부터 시작하며, 생성한 계정들은 1000이상의 값을 가지게 된다. [그림]8자리 값을 가지며, 2개의 빌드인 계정이 존재

Read More

시스템 파일 보호 – WFP(Windows File Protection) WRP(Windows Resouce Protection)

비스타의 경우 기존에 제공한 WFP(Windows File Protection) 기능 이외에도, WRP(Windows Resouce Protection)기능을 통해 추가로 보호하고 있다. 먼저 WFP는 윈도우 2000시절 적용된 기술로써, SFC(System File Checker)의 기능중 시스템 파일 감시(Sfc_os.dll)를 이용하여, Winlogon에 주요 시스템 디렉토리들을 모니터링하여 해당 파일이 정상 버전이 아닌경우 설치 원본 파일로 교체하는 기능을 말한다. 이 기능은 아래와 같이 Winlogon에서 동작하게 되는데, (덮어쓰기 이후

Read More

윈도우 로그인 관리자 Winlogon.exe

Winlogon.exe는 사용자 로그인 관련 동작을 지원하는 프로세스로써, 비스타이전 부팅시 보안 인증을 담당하는 Lsass.exe(Local Security Authority Subsystem Service, LSA라고도 함)와 서비스를 관리하는Services.exe(Service Control Manager)를 실행 하고(앞서 애기 했듯 비스타이후 부터는 Wininit.exe가 실행한다.), 유저 로그인 동작 위해 GINA(Graphical Identification and Authentication)을 호출하는 등 로그온, 로그오프 관련 기능을 수행하는 프로세스 이다. [그림]Winlogon이 호출한 GINA(msgina.dll)화면 Winlogon은 대기 시 SAS(secure

Read More

윈도우 세션 관리자 Smss.exe (Session Manager Subsystem)

Smss.exe는 Session Manager Subsystem의 약자로, 부팅 이후 최초로 생성되는 시스템 구동에 필요한 프로세스이다. (1장 후반부 성능 부분에서 Xperf를 통해 부팅 프로세스를 확인할 수는데 부팅 최초 프로세스로 확인할 수 있다.) Smss.exe는 레지스트리 정보를 확인하여, 먼저 기본 실행 파일(…\Session Manager\BootExecute)을 확인하여 실행하게 된다. (기본적으로는 autochk, 디스크검사가 실행된다.) 그리고 시스템 환경 설정을 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment)에서 확인하고 설정에 맞게 초기화

Read More