본문 바로가기

윈도우9

Windows 메모리 덤프 생성 및 분석 1. 메모리 Dump 수집-FTK Imager FTK imager는 디스크, 메모리, 레지스트리 Hive 파일 Dump를 지원하는 무료 도구입니다.GUI 환경이라 손쉽게 사용가능하고 안정적인 Dump가 가능한 것이 특징입니다. -Win32/64dd Win32/64dd는 Moonsols Windows Memory Toolkit 중 일부로써, 윈도우 Crash Dump 형식을 지원하고 네크워크를 통해 Dump 파일을 저장 가능한 것이 특징입니다. 2. 메모리 분석 툴-Redline Mandiant에서 제공하는 GUI환경의 무료 메모리 분석 도구입니다.Raw Dump 파일 및 Redline의 Collector로 수집한 Audit 파일을 통한 분석이 가능하며 Process, Network, Driver 등의 정.. 2012. 8. 8.

Windows OS 버전 정보 http://msdn.microsoft.com/en-us/library/windows/desktop/ms724834(v=vs.85).aspx Operating system Version number Windows 8 Release Preview 6.2 Windows Server 2012 6.2 Windows 7 6.1 Windows Server 2008 R2 6.1 Windows Server 2008 6.0 Windows Vista 6.0 Windows Server 2003 R2 5.2 Windows Server 2003 5.2 Windows XP 5.1 Windows 2000 5.0 2012. 8. 7.

Windows 레지스트리 분석 레지스트리는 윈도우의 주요 설정값을 보유하고 있는 데이터베이스 파일이며 시스템에 하이브 파일로 저장되어 있습니다. -하이브 파일 위치 레지스트리 하이브 HKLM\BCD00000000 {Boot Partition}\Boot\BCD HKLM\COMPONENTS %SystemRoot%\System32\Config\COMPONENTS HKLM\SYSTEM %SystemRoot%\System32\Config\SYSTEM HKLM\SAM SystemRoot%\System32\Config\SAM HKLM\SECURITY %SystemRoot%\System32\Config\SECURITY HKLM\SOFTWARE %SystemRoot%\System32\Config\SOFTWARE HKU\ %SystemRoot%\Ser.. 2012. 7. 31.

Windows 로그인 유형 0 : 시스템 계정만이 사용2 - Interactive : 로컬로그온이나 터미널, 원격쉘 과 같은 로그온3 - Network : FTP나, IIS 기본인증과 같은 로그온4 - Batch : 예약작업같은 배치 실행시 사용되는 계정의 로그온5 - Service : 서비스 실행 계정6 - Proxy : 프록시 타입7 - Unlock : 화면보호기 잠금 해제, GINA DLLs 로그온8 - NetworkCleartext : FTP나, IIS 기본인증과 같은 형식, 계정 정보 평문 전송 (Windows 2000 이상)9 - NewCredentials :Windows 2000 이후 부터 지원10 - RemoteInteractive : 터미널 서버 또는 그와 같은 형식11 - CachedInteractive : 네트.. 2012. 7. 18.

Windows 유용한 REG 설정 ex) reg add HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f [최근 문서 메뉴 제거]1.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer2.DWORD 새로 생성3.NoRecentDocsMenu값1 [기본 공유 해제]1.HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters2.DWORD 새로 생성3.AutoShareWks값04.AutoShareServer값0 [다운 갯수 해제]1.HKCU\SOFTWORE\MICROSOF.. 2012. 7. 18.

Windows batch에서 문자열 내 % 문자 입력 batch에서 %문자를 표현할때는 %%로 작성해야한다. 직접 cmd 창에서 set 등으로 문자열 입력시에는 % 하나만 입력해도 정상 입력이 되지만batch에서는 %는 반드시 %%로 사용해야 %문자로 인식한다. [내용 확인 batch 내용]@echo offset A="a%bcd"set B="a%%bcd" echo %A%echo %B% echo "%"echo "%%" 2012. 7. 18.

윈도우 Vista/7/2008 진단 스크립트 v1.3.4 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0) - 각 진단 항목에 대한 권고사항 출력 추가 - 6.3 항목 화면 잠금 시간 변수 추가 - 6.4 항목 로그 최대 크기 변수 추가 - 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0) - 4.2 항목에 대한 점검 추가 - 기존 진단 결과 파일 저장 폴더를 삭제하고 새로 생성하던 방식에서 내부 동일 진단 결과 파일만 삭제하도록 변경 2012-04-29 (v1.3.0) - 2.1 항목에서 administrator 계정 존재시 활성화 여부 출력 추가 2012-05-08 (v1.3.1) - 6.8 항목에서 정상적으로 양호판단을 하지 못하던 버그.. 2012. 4. 25.

NTDLL.dll 참조 : Windows Internals 5th NTDLL은 서브시스템을 위한 시스템 지원 라이브러리로써, 두 종류의 함수를 갖고 있다. 1.윈도우 익스큐티브 시스템 서비스에 대한 시스템 서비스 디스패치 스텁 -유저모드에서 호출할 수 있는 윈도우 익스큐티브 시스템 서비스 인터페이스로써 400개가 넘는 함수(NtCreateFile 등)들로 이루어져 있고 윈도우 API를 통해 접근 가능하다. 이들 함수 내부 코드는 시스템 서비스 디스패처를 호출하기 위해 커널모드로의 진입을 일으키는 아키텍처한정적인 인스트럭션을 가지고 있다. 시스템 서비스 디스패처는 인자를 검증한 후 Ntoskrnl.exe 내부의 실제 커널모드 시스템 서비스를 호출한다. 2.서브시스템, 서브시스템 DLL, 다른 네이티브 이미지에 의해 사용되는.. 2011. 11. 3.

단순화된 윈도우 아키텍쳐 참조 : Windows Internals 5th [유저모드] -시스템 지원 프로세스 : 로그온 프로세스와 세션 관리자 등이 있다. -서비스 프로세스 : 작업 스케쥴러와 프린트 스풀러 서비스 같은 윈도우 서비스를 호스팅 하며 유저의 로그온과는 별개로 실행해야한다. -유저 애플리케이션 : 윈도우,MS-DOS,POSIX 등 다양한 유형의 유저 애플리케이션이 있다. -환경 서브시스템 : 운영체제 환경 지원의 일부분 또는 사용자와 프로그래머에게 제공되는 개인 환경을 구현한다. [커널모드] -익스큐티브 : 메모리 관리,프로세스 관리 , 보안, 입출력, 네트워크, 프로세스간의 통신을 담당한다. -커널 : 스레드 스케줄링, 인터럽트, 예외 처리, 멀티프로세서 동기화 같은 저수준 운영체제 함수로 구성된다. -디바이스 드.. 2011. 10. 19.

이전 1 다음

티스토리툴바