용어가 익숙하지 않을 수 있으니까 용어 위주로 보십숑
1. 윈도우 개요
가. 윈도우 시스템 구조
1) 개념
HAL: 하드웨어 어스트렉션 레이어
할은 하드웨어와 개발된 소프트웨어 간에 원할한 통신이 가능하도록 도와주는 번역자 역할을 함.윈도우 시스템에서 다양한 하드웨어를 쉽게 추가할 수 있게 한다.
하드웨어: CPU, 메모리, 키보드, 마우스, 프린터 등
커널: 운영체제를 대신해서 하드웨어를 관리해주는 것
HAL: 커널과 하드웨어 사이에서 인터페이스 해주는 계층
각종 관리자 프로그램
응용프로그램: 사람이 보는 어플
커널 아래 HAL이 있음 -> 하드웨어에 접속해주는 계층
나. 윈도우 파일 시스템
| 구분 | FAT12 | FAT16 | FAT32 | NTFS |
| 최대 볼륨크기 | ||||
| 설명 | 압축, 보안, 기능, 복구 기능 우수 |
1) 하드디스크 포맷 형식
2) FAT16
2) FAT32
4) NTFS: 현재 사용중임
-> 내 컴퓨터에 윈도우즈를 설치 시 내 컴퓨터의 파일시스템에서 선택 가능
보통은 맨 위에 있는 NTFS를 사용함. 한 번도 본 적 없는 것 같은 기분이 드는 이유는 실제로 보통 셋팅하지 않기 때문임..ㅎㅎ;
가) 개념
나) NTFS 장점
유니코드 기반, 대용량 지원, 롤백, 불량섹터 인식, 암호화, 압축 지원 -> 아무튼 좋은건 다 있음.
다) NTFS 특징
파일정보를 MFT에 저장함.
TIP. MFT(마스터 파일 테이블)
라) 윈도우 NTFS 파일 시스템 구조
마) NTFS 장점
바) NTFS 단점
사) cipher(사이퍼) 명령
모든 파일을 암호화할 때, 사이퍼라는 명령어를 이용해서 암호화 해라
5) FAT와 NTFS비교
2. 윈도우 보안
가. 윈도우 계정
1) 기본 사용자와 그룹
1) 윈도우 설치 시 기본적으로 생성되는 계정
Administrator (관리자): 시스템의 모든 권한을 가진 계정. (설치 시 자동 생성)
SYSTEM 계정: 운영체제(커널) 자체가 사용하는 계정으로, 관리자보다 더 높은 권한을 가질 때도 있음.
Guest (게스트): 계정이 없는 사용자가 임시로 접속할 때 사용. 보안상 비활성화를 권장함.
2) 윈도우 설치 시 기본적으로 생성되는 그룹
Administrators: 시스템의 모든 권한을 가진 계정
Power Users: 시스템 관리를 할 수 있는 권한이 부여 된 계정
Users: 일반 사용자 그룹
Guest
Backup Operators: 백업을 위해 파일 권한을 무시하고 읽을 수 있는 그룹
나. 레지스트리 활용
1) 레지스트리 개요
윈도우 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스
내 PC에서 레지스트리를 볼 수 있음 -> cmd에서 regedit 입력
2) 하이브
- 레지스트리의 데이터를 한 덩어리로 묶어서 실제 하드디스크에 파일 형태로 저장한 것
- 하이브 파일은 HKEY로 시작한다.
3) 하이브가 담고 있는 정보의 종류
HKEY_CLASSES_ROOT (HKCR): 파일 확장자에 대한 정보(.jpg, .hwp 등)
HKEY_CURRENT_USER (HKCU): 현재 로그인한 사용자의 설정 (바탕화면, 언어 등).
HKEY_LOCAL_MACHINE (HKLM): 컴퓨터의 모든 하드웨어와 소프트웨어 설정
HKEY_USERS (HKU): 시스템에 있는 모든 계정과 그룹에 관한 정보
HKEY_CURRENT_CONFIG (HKCC): 시스템 부팅 시 사용하는 하드웨어 프로파일 정보: 온갖 잡다한 것들..
4) 레지스트리 보호
레지스트리는 굉장히 중요한 파일이기 때문에 잘못 건드려서 깨지면 컴퓨터 초기화 해야해...^^...
가) 레지스트리 접근 제한
- 아무나 편집하지 못하게 해야함
- 주기적으로 백업해야함
다. 윈도우 인증 구성 요소
1) 개념
커널의 호출: 윈도우는 크게 사용자모드와 커널모드가 있다.
워드 작업을 하면 사용자모드에서 프로세스가 돈다.
-> 프린터 버튼을 누르면 사용자모드에서 시스템 호출을 통해 프린터(하드웨어)를 처리하기 위한 커널모드로 바뀜.
-> 프린팅 진행
-> 완료 후 다시 사용자모드로 바뀌어서 워드 작업을 진행
윈도우 인증 구조
윈도우도 커널 모드가 있음.
윈도우 커널 모드
- SRM(보안 참조 모니터)
사용자 모드 LSA(보안 서브 시스템, 큰 개념임)에 여러가지 오브젝트들이 물려있음.
- 로그인 프로세스
- 보안정책 데이터 베이스
- SAM(보안 계정 관리자)와 그 계정을 관리하는 관리자
- 온갖 로그를 남기는 감사 로그 파일들
2) LSA(Local Security Authority): 보안 서브 시스템
- 감사 메시지(보안로그)를 생성하고 기록
- NT 보안의 중심 요소
3) SAM(Security Accounts Manager): 보안 계정 관리자
4) SRM(Security Reference Monitor): 보안 참조 모니터
- 사용자에게 고유의 SID(시큐리티 아이덴티피어, 윈도우 계정을 하나의 코드 값으로 표시한 것)를 부여
라. 파일과 폴더의 보안권한 설정
1) 윈도우폴더(NTFS)에는 6가지 기본 권한 설정을 제공하며 파일에는 5가지 권한을 제공한다.
- 6가지 기본권한: 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기, 읽기, 쓰기
- 파일 권한: 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기, 읽기, 쓰기
-> 속성에서 권한 설정이 가능하다.
마. 암호기능 사용
1) 폴더 및 파일 암호화(EFS, Encrypting File System)
가) 개념
폴더를 암호화 하는 것
나) 동작
2) 볼륨 암호화 (BitLocker)
가) 개념
하드디스크 드라이브를 암호화 시켜서 도둑 맞아도 그 안의 내용을 볼 수 없게 하는 기능
나) 동작
바. 윈도우 방화벽
1) 개념
우리 PC에도 기본적으로 윈도우 방화벽이 있는데, 내가 좀 더 안전하게 쓰겠다 싶으면 이 윈도우 방화벽에서 설정을 바꿔서 나한테 맞는 환경으로 설정을 바꿀 수 있다.
PC 방화벽은 PC 내부로 유입되는 패킷(인바운드)뿐만 아니라 나가는 패킷(아웃바운드)까지 모두 차단
-> 방화벽 기본 셋팅은 인바운드는 모두 막혀있고, 아웃 바운드는 모두 오픈 되어있음.
2) 설정 방법
https://www.samsungsvc.co.kr/solution/39245
...ㅋ 삼성이 다 알려줄거얀.
3. 윈도우 운영체제 명령어
가. tasklist
지금 떠있는 프로세스들의 목록을 볼 수 있음. -> 듣도 보도 못한 이상한 이름의 .exe가 떠 있는지 확인할 때 사용.
PID: 프로세스 아이디
세션이름: 서비스/콘솔 여부
세션#: 활성화(1), 비활성화(0)
나. netstat
열린 포트와 포트의 상태 정보를 볼 수 있음. -> 해커가 내 컴퓨터에 몰래 접속(Backdoor)해 있는지, 어떤 포트가 열려 있는지 확인할 때 사용 (netstat -an을 가장 많이 씀)
외부주소: 외부에서 접속하고 있는 아이피 어드레스
다. nslookup
DNS서버에 연결해서 IP주소나 도메인 이름에 대한 질의를 수행하는 명령어 -> 내가 접속하려는 사이트의 IP가 변조되었는지(DNS 스푸핑 등) 확인할 때 사용.
도메인 이름을 IP 주소로 바꿔주는게 DNS인데, 그 DNS에 대한 질의를 수행하는 명령어.
라. ipconfig /all
내 PC에 설정되어 있는 온갖 config 정보를 볼 수 있음.
내 컴퓨터의 네트워크 설정 상세 정보를 보여줌.
-> 내 IP 주소, 서브넷 마스크, 게이트웨이, 그리고 MAC 주소(물리적 주소)와 DNS 서버 주소 정보
마. arp -a
현재 나한테 속한 랜에 어떤 장치들이 연결되어있는지 확인
내 컴퓨터의 ARP 캐시 테이블을 보여줌 -> IP 주소를 가짜 MAC 주소로 연결하는 'ARP 스푸핑' 공격을 당하고 있는지 확인할 때 사용 (Gateway의 MAC 주소가 변했는지 체크)
바. route table
내 컴퓨터의 라우팅 테이블(데이터가 나가는 경로 정보)을 보여줌. 현재 연결되어있는 인터페이스 등을 볼 수 있다.
-> 내 데이터가 엉뚱한 곳(해커의 컴퓨터 등)을 거쳐서 나가는지 경로 설정을 확인할 때 사용.
4. 윈도우 시스템 이벤트 로그 종류
응용 프로그램(Application): 응용 프로그램이 기록하는 이벤트 (예: MS 워드 오류).
보안(Security): 리스트 사용과 관련된 이벤트, 로그인 성공/실패, 자원 접근 등 감사 기록. (LSA가 기록함)
시스템(System): 윈도우 구성 요소가 기록하는 이벤트 (예: 드라이버 로드 실패, 서비스 시작/중지).
Setup: 프로그램 설치 관련 로그.
Forwarded Events: 다른 컴퓨터로부터 전달받은 로그.
5. 윈도우 시스템 프로세스
세상엔 이런게 있다..
System: 커널 모드에서 실행되는 프로세스.
smss.exe (Session Manager): 사용자 세션을 시작하는 첫 번째 프로세스.
csrss.exe (Client/Server Runtime): 윈도우 서브시스템의 핵심 (콘솔, 창 관리).
wininit.exe: 서비스 컨트롤 관리자 등을 실행.
services.exe: 시스템 서비스들을 관리.
lsass.exe (LSA): [암기] 아까 배운 '보안 서브시스템'. 로그인 인증 및 보안 정책 관리.
explorer.exe: 우리가 보는 바탕화면, 폴더(GUI).
6. 윈도우 및 유닉스 로그파일 종류 및 분석
가. Log File
1) Log File 소개
온갖 로그파일이 있음. 내가 내 PC에서 검색하거나 프로그램을 열고 켜고 끈 행위 등의 온갖 잡다한 행위들의 기록을 관리하는 파일
2) 침입자로부터 로그 파일을 보호하는 방법
- 백업을 받아두면 좋음.
- 가능한 여러곳에 로그파일 만들기
- 백업 후 삭제 등의 지속적인 관리를 주기적으로 진행
나. 윈도우 Log File
1) 개념
2) 이벤트로그
다. 유닉스/리눅스 Log File
1) 개념
2) syslog.conf
7. 윈도우 구조