반응형 전체 글853 시스템 프로세스(Windows Startup Process) - 보안 관리자 Lsass.exe Lsass.exe(이하 Lsass)는 Local Security Authority Subsystem Service의 약자로, 줄여서 LSA(Local Security Authority)라고도 하며, 사용 인증과 관련하여 밀접한 관련이 있다. %Systemroot%\System32\Lsass.exe에서 실행되는 유저 모드 프로세스로서, 시스템의 보안 정책, 사용자 인증, 이벤트 로그에 보안 감사 메시지 전달 등, 윈도우의 전반적인 보안 처리를 담당하며, 이러한 서비스 관리는 Lsasrv.dll(%Systemroot%\System32\lsasrv.dll)을 이용해 구현된다. 그리고 LSA 관련 설정은 아래 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Lsa)에서 확인할 수 .. 2022. 3. 5. AWS 공격 시뮬레이션 도구 - stratus 최근 클라우드 사용이 많은 가운데 AWS 전용으로 괜찮은 공격도구가 나와서 공유하고자 한다. 이름은 Stratus으로 주요 사이트는 아래와 같다. https://www.datadoghq.com/blog/cyber-attack-simulation-with-stratus-red-team/ Elevate AWS threat detection with Stratus Red Team Learn how you can emulate common attack techniques directly in your cloud environment with our new open source Stratus Red Team project. www.datadoghq.com https://github.com/DataDog/strat.. 2022. 3. 4. 시스템 프로세스(Windows Startup Process) - 로그인 관리자 Winlogon.exe 비스타 이전에는 부팅시 보안 인증을 담당하는 Lsass.exe(Local Security Authority Subsystem Service, LSA라고도 함)와 서비스를 관리하는 Services.exe(Service Control Manager, SCM)를 실행 하고(앞서 얘기했듯 비스타 이후부터는 Wininit.exe가 SCM과 LSA을 실행한다), 유저 로그인 동작을 위해 GINA(Graphical Identification and Authentication)를 호출하는 등 로그온, 로그오프 관련 기능을 수행한다. Winlogon은 대기시 항시 SAS(Secure attention sequence: Alt+Ctrl+Del)키 입력를 감시하다가, SAS키 입력 발생시 GINA를 불러와 사용자가 로그온 .. 2022. 3. 3. [WebBook] 윈도우 구조 - 시스템 프로세스(Windows Startup Process) - 서브시스템 관리자 Csrss.exe Client-Server Runtime Subsystem의 약자로, 앞서 Smss가 로드하는 3개의 서브시스템 중 하나로, 윈도우 서브시스템이라고도 불리우며, 윈도우상에서 실행되는 프로세스와 스레드들의 관리를 담당한다. Csrss.exe(이하 Csrss)는 실행시 Basesrv.dll(Microsoft Windows NT Base API Server Library), Winsrv.dll(Windows Server Library), Csrsrv.dll(Client Server Runtime Process)을 로드하여 콘솔 윈도우(Console windows) 처리, 프로세스와 스레드 생성과 삭제, 16비트 가상 DOS 머신(VDM) 프로세스를 위한 기능 일부 및 SxS(Side-by-Side)를 지원하게 .. 2022. 2. 28. 윈도우 10/11 - 비즈니스(Business)? 소비자(Consumer)버전 차이는? Business Edition (Volume) 볼륨 버전, 볼륨 키(키 하나로 여러 제품에 설치할 수 있는 라이센스 키)를 사용할 수 있는 기업용 제품은 Windows Pro, Pro for Workstations, Education, Pro Education, Enterprise Consumer Editions (Retail) 리테일 버전, 리테일 키(하나의 제품에서만 사용할 수 있는 개인 라이센스 키)를 사용하는 소비자용 제품은 WindowsPro, Pro for Workstations, Education, Pro Education, Home consumer, business 2개 모두 윈도우는 동일하지만 정품인증 라이센스 차이가 있다. Retail 키를 Volume 버전에 입력하면 정품 인증이 되지.. 2022. 2. 25. 시스템 프로세스(Windows Startup Process) - 서브시스템(Subsystem) 시스템 프로세스(시스템 지원 프로세스라고도 함)는 윈도우 시작 프로세스임과 동시에 사용자가 시스템을 사용하는 데 필요한 핵심 부분을 담당하는 프로세스들을 뜻한다. 이는 커널과 연결되는 서브시스템(Subsystem)을 구동하거나, 관리하는 역할을 한다. 한마디로 운영체제를 사용하는 사용자를 위해 유저 모드에서 동작하는 중요한 프로세스라 할 수 있다. 따라서 이는 윈도우 구조를 이해하기 위해 반드시 알아두어야 할 프로세스들이라 할 수 있다. 이 프로세스들은 Process explorer에서 아래와 같이 확인할 수 있다. 위 그림에 표시한 프로세스들이 우리가 4장에서 배울 주요 시스템 프로세스인 Smss.exe, Csrss.exe, Winlogon.exe, Lsass.exe, Services.exe 이며 이외.. 2022. 2. 21. 원신 - 카미사토 아야토 파티 성유물 조합 마지막업데이트 240306 2.5 야에 미코 뽑기에 실패하면서, 다른 신규 캐릭터인 카미사토 아야토에 대해 기대를 가지고 찾아보았다. 행추와 달리 메인 딜러로 고용해야 하는 캐릭터로 보이는데, 원소 폭발을 통한 서브 딜러 능력도 있을 것으로 보여, 최근 2.6 캐릭터로 공개된 아야토에 대해 정리를 해보고자 한다. 현재 정식 출시가 되지 않은 만큼 변화할 수 있지만, 현재까지 나온 정보로 보면 원소 폭발은 감우+버프 압축에 원소 전투는 메인 딜러로 고용할 이유가 될 것으로 보인다. 그럼 필자가 확인한 정보를 토대로 정리해보겠다. 먼저 원소 전투 스킬을 알아보도록 하자. 카미사토 류: 거울 꽃 원소 전투 스킬은 순수검? 이라는 자세로 전환하여 공격하는 형태이다. 순수검 공격 자세가 되면, 일반 공격이 빠른 .. 2022. 2. 20. 시스템 시작, 커널 생성 MBR과 부트 섹터를 지나 부트 로더인 Ntldr(비스타 이후 Winload.exe로 변경되었다)를 통해 BCD(Windows Boot Manager)의 실행까지 알아보았다. 이후 BCD는 지정된 시간 동안 입력이 없으면, 기본적으로 지정된 운영제체를 실행하여 부팅을 위한 윈도우 커널 초기화 작업을 진행하게 된다. 이때 부트 파티션에서 커널 초기화에 필요한 적절한 커널(Ntoskrnl.exe외 3가지) 파일과 HAL(Hardware Abstraction Layer) 이미지 등을 로드하고, 레지스트리 %SystemRoot%\System32\Config\System을 HIVE(연결) 하여 디바이스 드라이버를 로드하는 작업을 진행하게 된다(레지스트리에 대해서는 추후 커널과 유저의 소통에서 다룬다). 커널 초기.. 2022. 2. 13. 온라인 스터디 모임 - 리버싱 기초 리버싱 기초에 대해 온라인으로 스터디 모임을 해보았다. 예전에는 이동하고 공간 예약하느라 고생한 것 생각하면, 공간 제약 없는 장점이 나름 많구나 2022. 2. 11. 이전 1 ··· 76 77 78 79 80 81 82 ··· 95 다음 반응형
