1. 윈도우 파일 시스템의 종류
1) FAT 32
* 오래되고 많이 사용되는 파일 시스템
* 안정성과 호환성이 좋다.
2) exFAT
3) NTFS
2. 윈도우 서비스
1)
* 오랜 시간 동안 실행되며 특정한 기능을 수행하는 실행 파일로 백그라운드 모드에서 실행된다.
* 실행 -> services.msc로 확인 가능하다.
2)
* 윈도우 서비스에 등록된 프로그램의 상태를 확인할 수 있다.
* 서비스 시작 유형이 변경 가능하다.
* Window 서비스에 등록된 프로그램은 부팅시 항상 실행된다.
3. 윈도우 주요 프로세스
* 컴퓨터에서 연속적으로 실행되고 있는 컴퓨터 프로그램
1) lsass.exe
* 보안 정책 적용 담당
* 패스워드 변경, 인증 토큰 생성 및 사용자 인증
2) svchost.exe
* 윈도우 부팅시 레지스트리의 서비스 부분 검사
* 동적 라이브러리에서 실행되는 윈도우의 각종 서비스 제어
3) csrss.exe
* 프로세스나 스레드의 생성 및 삭제
* smss.exe의 자식 프로세스
4) smss.exe
* 사용자 세션의 시작과 종료를 관리
* 일반 유저 프로세스보다 PID가 높은 숫자를 가지는 경우 감염 의심
5) services.exe
* 서비스 콘솔 안의 프로세스를 실행시키거나 종료
6) winlogon.exe
* 사용자 계정 검증
* 사용자 로그온 시 프로필 및 환경 설정 로드
7) userinit.exe
* 시스템 시작과 로그인에 관여하는 매우 중요한 윈도우 파일
4.윈도우 프로세스 분석
Process Explorer -> 프로세스 분석 모니터링 도구로 작업 관리자에 비해 프로세스 심층 분석이 가능하다.
New Objects : 새로 생성된 프로세스
Deleted Objects : 작업 완료 프로세스
Own Processes : 사용자 계정으로 수행된 프로세스
Suspended Processes : 프로세스 일시 중지
Packed Images : 압축 된 프로세스 -> 악성코드일 가능성이 있다.
5. 윈도우 레지스트리 분석
1) HKEY_CLASSES_ROOT
* 파일 확장자명과 응용프로그램의 연결정보 포함
* 파일 취급과 관련된 설정
2) HKEY_CURRENT_USER
* 현재 로그인한 사용자 프로필, 계정 설정, 환경 설정
* 제어판 및 네트워크 연결 설정
3) HKEY_USERS
* 각 사용자별 프로필, 계정 설정
4) HKEY_LOCAL_MACHINE
*
6.
'정보보호영재원_중등기초' 카테고리의 다른 글
| 2021 09 25 창의적 사고 기법 정리 (0) | 2021.09.25 |
|---|---|
| 2021 09 11 해커와 해킹 특강 (0) | 2021.09.11 |
| 2021 08 28 암호의 기초 (0) | 2021.09.11 |
| 2021.08.14 Wireshark (0) | 2021.08.14 |
| 인터넷 주소 체계 & 네트워크 설정 2021-08-07 (토) (0) | 2021.08.07 |