Tag Archives: windows

Disable Windows Update Auto-reboot

Windows 10혹은 Windows 2016의 경우 Restart Option이 기본적으로 활성화 되어 있어, 윈도우 업데이트가 있는 경우 지정된 시간에 재시작 알람이 가도록 되어 있습니다. 아래는 시스템에서 보안/업데이트 고급 설정이나 재시작 옵션으로 확인이 가능합니다.(본 옵션의 Windows 10과 Windows 2016에만 존재합니다) For Windows 10 or Windows 2016, the Restart Option is enabled by default, and if there is a

Read More

서브시스템 관리자 Csrss.exe (Client-Server Runtime Subsystem)

Client-Server Runtime Subsystem의 약자로, Basesrv.dll, winsrv.dll, csrsrv.dll를 로드하여 Console Windows 처리, 프로세스와 스레드 생성과 삭제, 16비트 가상 DOS 머신(VDM) 프로세스를 위한 기능 일부 및 SxS(Side-by-Side) 지원 한다. Windows Startup Process임과 동시에 서브시스템 관리 프로세스로써 중요한 위치를 차지하는 프로세스이며, 이 역시 네이티브 어플리케이션이다. 레지스트리 (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Windows키)에서 설정값을 확인할 수 있다. 그리고 CSRSS은 윈도우 서브시스템 DLL과 빠른

Read More

윈도우 세션 관리자 Smss.exe (Session Manager Subsystem)

Smss.exe는 Session Manager Subsystem의 약자로, 부팅 이후 최초로 생성되는 시스템 구동에 필요한 프로세스이다. (1장 후반부 성능 부분에서 Xperf를 통해 부팅 프로세스를 확인할 수는데 부팅 최초 프로세스로 확인할 수 있다.) Smss.exe는 레지스트리 정보를 확인하여, 먼저 기본 실행 파일(…\Session Manager\BootExecute)을 확인하여 실행하게 된다. (기본적으로는 autochk, 디스크검사가 실행된다.) 그리고 시스템 환경 설정을 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment)에서 확인하고 설정에 맞게 초기화

Read More

Volatility 사용법 – Windows 메모리 포랜식 분석

Volatility – 메모리 분석 Volatility는 Volatile Systems https://www.volatilesystems.com/default/volatility 회사에서 공개한 메모리 덤프 분석 도구이다. 사고 머신의 메모리 덤프를 편리하게 분석할 수 있는 도구 중 이만큼 확장성과 유연성을 겸비 도구를 찾아보기 어려울 만큼 상당한 분석력을 자랑한다. Volatility는 파이션(Vbscript와 함께 분석가들이 많이 사용하는 스크립트 언어, http://www.python.org)으로 개발된 도구로, 현재 2.0 버전까지 존재하며, 윈도우7까지 지원한다. 본 도구은 파이션을

Read More