Windows

Windows 메모리 덤프 생성 및 분석

1. 메모리 Dump 수집-FTK Imager FTK imager는 디스크, 메모리, 레지스트리 Hive 파일 Dump를 지원하는 무료 도구입니다.GUI 환경이라 손쉽게 사용가능하고 안정적인 Dump가 가능한 것이 특징입니다.-Win32/64dd Win32/64dd는 Moonsols Windows Memory Toolkit 중 일부로써, 윈도우 Crash Dump 형식을 지원하고 네크워크를 통해 Dump 파일을 저장 가능한 것이 특징입니다.2. 메모리 분석 툴-Redline Mandiant에서 제공하는 GUI환경의 무료 메모리 분석 도구입니다.Raw Dump 파일 및 Redline의 … 더 읽기

Windows OS 버전 정보

http://msdn.microsoft.com/en-us/library/windows/desktop/ms724834(v=vs.85).aspx Operating system Version number  Windows 8 Release Preview 6.2  Windows Server 2012 6.2  Windows 7 6.1  Windows Server 2008 R2 6.1  Windows Server 2008 6.0  Windows Vista 6.0  Windows Server 2003 R2 5.2  Windows Server 2003 5.2  Windows XP 5.1  Windows 2000 5.0

Windows 레지스트리 분석

레지스트리는 윈도우의 주요 설정값을 보유하고 있는 데이터베이스 파일이며 시스템에 하이브 파일로 저장되어 있습니다. -하이브 파일 위치  레지스트리  하이브  HKLM\BCD00000000  {Boot Partition}\Boot\BCD  HKLM\COMPONENTS  %SystemRoot%\System32\Config\COMPONENTS  HKLM\SYSTEM  %SystemRoot%\System32\Config\SYSTEM  HKLM\SAM  SystemRoot%\System32\Config\SAM  HKLM\SECURITY  %SystemRoot%\System32\Config\SECURITY  HKLM\SOFTWARE  %SystemRoot%\System32\Config\SOFTWARE  HKU\  %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT  HKU\  %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT  HKU\  %UserProfile%\NTUSER.DAT  HKU\_Classes  %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat  HKU\.DEFAULT  SystemRoot%\System32\Config\DEFAULT  HKLM\HARDWARE  휘발성 1. 수집 및 분석 준비 하이브 파일은 대부분 시스템에의해 열려있어 일반적인 방법으로는 복사가 … 더 읽기

Windows 유용한 REG 설정

ex) reg add HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f[최근 문서 메뉴 제거]1.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer2.DWORD 새로 생성3.NoRecentDocsMenu 값 1[기본 공유 해제]1.HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters2.DWORD 새로 생성3.AutoShareWks 값 04.AutoShareServer 값 0[다운 갯수 해제]1.HKCU\SOFTWORE\MICROSOFT\WINDOWS\CurrentVersion\InternetSetting2.DWORD 새로 생성3.MaxConnectionsPerServer 값 100[자동 실행 해제]1.HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer2.DWORD 새로 생성3.NoDriveTypeAutoRun 값 255[Server 서비스 시작 유형 변경]1.HKLM\SYSTEM\ControlSet001\Services\lanmanserver2.Start 값 [0-4]-값-0:부팅1:시스템2:자동3:수동4:사용안함[WSUS 서버 설정]1.HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate2.WUServer 값 http://[아이피]3.WUStatusServer 값 http://[아이피][IE8 LinkID 에러 해결]1.HKCU\Software\Microsoft\Internet Explorer\Main2.RunOnceComplete 값 … 더 읽기

Windows batch에서 문자열 내 % 문자 입력

batch에서 %문자를 표현할때는 %%로 작성해야한다.직접 cmd 창에서 set 등으로 문자열 입력시에는 % 하나만 입력해도 정상 입력이 되지만batch에서는 %는 반드시 %%로 사용해야 %문자로 인식한다.[내용 확인 batch 내용]@echo offset A=”a%bcd”set B=”a%%bcd”echo %A%echo %B%echo “%”echo “%%”

윈도우 Vista/7/2008 진단 스크립트 v1.3.4

win2008 check 201510260029.zip 다운로드 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0)– 각 진단 항목에 대한 권고사항 출력 추가– 6.3 항목 화면 잠금 시간 변수 추가– 6.4 항목 로그 최대 크기 변수 추가– 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단)2012-04-27 (v1.2.0)– 4.2 항목에 대한 점검 추가– 기존 … 더 읽기

NTDLL.dll

참조 : Windows Internals 5th NTDLL은 서브시스템을 위한 시스템 지원 라이브러리로써, 두 종류의 함수를 갖고 있다. 1.윈도우 익스큐티브 시스템 서비스에 대한 시스템 서비스 디스패치 스텁 -유저모드에서 호출할 수 있는 윈도우 익스큐티브 시스템 서비스 인터페이스로써 400개가 넘는 함수(NtCreateFile 등)들로 이루어져 있고 윈도우 API를 통해 접근 가능하다. 이들 함수 내부 코드는 시스템 서비스 디스패처를 호출하기 위해 커널모드로의 진입을 … 더 읽기

단순화된 윈도우 아키텍쳐

참조 : Windows Internals 5th [유저모드] –시스템 지원 프로세스 : 로그온 프로세스와 세션 관리자 등이 있다. –서비스 프로세스 : 작업 스케쥴러와 프린트 스풀러 서비스 같은 윈도우 서비스를 호스팅 하며 유저의 로그온과는 별개로 실행해야한다. –유저 애플리케이션 : 윈도우,MS-DOS,POSIX 등 다양한 유형의 유저 애플리케이션이 있다. –환경 서브시스템 : 운영체제 환경 지원의 일부분 또는 사용자와 프로그래머에게 제공되는 개인 환경을 … 더 읽기
바로가기