[정보보안 개념] 윈도우 시스템 보안

 

 

 

1> 윈도우 파일 시스템

 

 

- FAT : DOS 기반, 작은 용량 파일, FAT16, FAT32 (NTFS 변환 가능)

 

- NTFS : 파일 암호화, 대용량 파일, FAT 변환 불가, 윈도우 NT, 2000, XP

 

 

 

 

 

2> 윈도우 인증 프로세스

 

 

- Winlogon : 윈도우 로그인 프로세스, GINA 실행

 

- GINA : 계정과 암호를 LSA에 전달 역할

 

- LSA : 계정과 암호 검증, 감사로그 기록

 

- SAM : 사용자 계정정보 저장

 

- SRM : 사용자 고유 SID 부여

 

 

 

 

 

3> 윈도우 실행 프로세스 

 

 

- system32 폴더 위치

 

wininit.exe : 윈도우 시작 프로세스

 

services.exe : 윈도우 서비스 관리

 

lsm.exe : 시스템 관리, 함수 실행, 호스트와 서버 연결 관리

 

lsass.exe : 로그인 검사, 비밀번호 변경 관리, 액세스 토큰 생성

 

svchost.exe : 서비스 관리 프로세스

 

conhost.exe : 키보드, 마우스 입력, 문자 출력 등 기능 수행

 

 

 

 

 

4> NTFS 시스템 : 윈도우 서버용 파일 시스템

 

 

- 대용량 지원, 파일 압축

 

- USN 저널 : 파일 시스템 변경 시 기록, 롤백

 

- EFS : 대칭키 기법 암호화

 

- NTFS = VBR(부트섹터, 부트코드 등), MFT(메타정보, 파일 및 디렉토리 정보, 파일 위치, 속성, 파일명 크기 등)

, Data Area

 

 

 

 

 

5> 공유 폴더

 

- net share 확인

 

- /delete : 공유 폴더 삭제

 

 

 

 

 

6> 레지스트리 (Registry)

 

 

- OS, 응용 프로그램 등 필요한 정보를 저장하고 관리하는 계층형 데이터베이스

 

- 윈도우 부팅부터 프로그램 실행까지 모든 활동 정보 기록하고 관리

 

- 윈도우 레지스트리 프로그램 : regedit.exe 

 

- 윈도우 레지스트리 : Key, Value, Data Type, Data

 

- 상위 레벨 레지스트리 키 : 루트 키

 

 

HKEY_CLASSES_ROOT : 확장자에 대한 정보와 연결 정보

 

HKEY_LOCAL_MACHINE : 설치 드라이버 정보

 

HKEY_USERS : 사용자 정보

 

HKEY_CURRENT_CONFIG : 디스플레이, 플린트 설정 정보

 

 

 

 

 

7> 하이브 파일 : 레지스트 정보 갖고 있는 물리적인 파일

 

 

- 하이브 파일 경로 : c:/windows/system32/config

 

- 레지스트 프로그램(regedit.exe)이 하이브 파일을 읽어 보여주고 변경합니다.

 

- 커널에 의해 관리

 

 

- 하이브 SET : SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER, DAT

 

SAM : 로컬 계정, 그룹 정보

 

SYSTEM : 시스템 부팅 정보

 

SOFTWARE : 부팅에 필요 없는 소프트웨어 정보

 

 

- 윈도우 시작 레지스트리 : Run (매번 시작 실행), RunOnce(한번 실행) , RunServices (서비스 시작 프로그램)

 

- 최근 실행 명령어 : 레지스트리 RunMRU

 

 

 

 

 

8> 윈도우 이벤트 로그

 

 

- 모든 내용을 발생 시간 순으로 기록하는 로그파일

 

- 관리도구 : 이벤트 뷰어

 

- 확장자 : *.evt

 

- 종류 : 응용프로그램, 보안, Setup, 시스템 등 

 

- 이벤트 ID 로그 분석

 

 

 

 

9> 웹 아티팩트 분석 : 웹사이트 사용 분석

 

 

- 분석 대상 : 웹브라우저 캐시

 

캐시 : 다운로드 이미지 텍스트 파일, 아이콘 등

 

캐시 인덱스 : 다운로드 URL, 시간, 데이터 크기 

 

히스토리 : 방문 사이트 URL, 방문시간, 방문 횟수, 제목

 

쿠키 : 방문 시 사용자 PC 자동 저장 (자동 로그인, 자주 검색 대상값), 호스트 정보, 경로, 수정/만료 시간

 

 

 

 

10> 바이러스 & 악성코드

 

 

- 바이러스 : 자기복제 특성 

 

 

1세대 원시형 : 단순하고 고정된 크기, 부트영역 / 파일 감염 (돌, 예루살렘 바이러스)

 

2세대 암호화 : 프로그램 암호화 시켜 백신 확인 불가 (폭포, 느림보 바이러스)

 

3세대 은폐형 : 자기 은폐, 실행파일 크기 증가 (맥가이버, 브레인, 512 바이러스)

 

4세대 갑옷형 : 100만개 이상의 다양한 암호화 기법으로 프로그램 변경 (다형성, 자체 변형 바이러스)

 

5세대 매크로 : 엑셀, 워드 매크로 명령 바이러스 (Melisa, Laroux, Nimba 바이러스)

 

 

- 부트 바이러스 : 부트 정보를 가지고 있는 디스크 영역의 부트 섹터를 간염 (브레인, 미켈란젤로 바이러스)

 

- 파일 바이러스 : 일반 파일 감염, COM / EXE 파일 감염 (기생형, 겹쳐쓰기, 산란형, 연결형 바이러스)

 

- 부트 & 파일 바이러스 : 부트섹터 + 파일영역 감염 바이러스 (게킬라, 나타스, 침입자 바이러스)