본문 바로가기
반응형

WebBook/윈도우 구조11

윈도우/리눅스 – 가상 메모리 관리(Paging, Swap) 리눅스와 윈도우는 메모리 관리 방법에 대해서 얘기해 보고자 한다. 윈도우와 리눅스는 기본적으로 메모리 관리 체계는 같다. 다만 이를 운용하는 방식이 조금 다르다고 할 수 있다. Windows / Linux 가상 메모리 관리 – Paging, Swap 윈도우와 리눅스 모두 부족한 메모리를 위해 페이징(paging), 리눅스에서는 스왑(swap)을 통해 부족한 메모리를 보조저장장치인 하드 디스크를 사용하게 된다. 이를 보통 “가상 메모리“라고 하며, 현재 사용중인 가상 메모리 용량을 확인하기 위해서는 다음과 같은 명령으로 확인이 가능하다. Linux 가상 메모리 – 확인 리눅스의 경우 free 명령을 통해서 확인할 수 있다. 아래 명령은 메모리 사용량을 Megabyte 단위로 사용량을 표시하는 방법이다. s.. 2024. 2. 23.
윈도우 예외 처리 이해 하기 - KeBugCheckEx 이번에는 윈도우 예외 처리 이해 하기로 KeBugCheckEx에 대해서 알아보도록 하겠다. 윈도우에서는 IDT(Inturrupt Descriptor Table)를 이용해 인터럽트 및 예외(Exception)를 처리하는데, BSOD와 같은 예외 상황 역시 IDT 테이블 통해 처리되며, 최종 KeBugCheckEx를 통해 오류상황에 대처한다. 그럼 KeBugCheckEx의 구조체를 알아보자. VOID KeBugCheckEx( __in ULONG BugCheckCode, __in ULONG_PTR BugCheckParameter1, __in ULONG_PTR BugCheckParameter2, __in ULONG_PTR BugCheckParameter3, __in ULONG_PTR BugCheckParamet.. 2022. 9. 13.
윈도우 구조 - 커널 진입 - Ntdll.dll 세부 분석 우리가 편지를 쓴다면, 보내는 사람은 “나”라는 이름으로 편지를 보내고, 받는 사람 “너”라는 사람이 편지 내용을 읽고 회신하게 된다. 이 과정 속에 실질적인 편지 배달은 우체국에서 진행하게 된다. 우체국은 중간에서 편지를 각 지역별로 구분한 후, 공통된 배달 방식에 맞게 구분하여 편지를 배달해 주는 것이다. 이와 같은 원리는 시스템에서도 볼 수 있다. 편지와 비교해 본다면, “나”는 응용프로그램으로 사용자의 입력이나, 처리 요청을 받아 개발 의도에 맞게 가공하여 커널에 처리를 요청하게 된다. 그리고 커널은 편지에서 “너”라고 할 수 있다. 이 둘간의 전달 역할을 해주는 것이 서브시스템과 Ntdll.dll로써, 서브시스템은 바로 우편배달부처럼 각 지역 요청들을 수집하여 우체국에 전달하고 이를 우체국과 유.. 2022. 4. 2.
시스템 프로세스(Windows Startup Process) - 자동 실행 - Userinit.exe Userinit Logon Application 약자로, 이름에도 알 수 있듯이 유저 세션의 환경을 초기화 해주는 프로세스이다. 사용자 인증을 거쳐 로그인에 성공하면 Logon script를 실행하고, 사용자 환경에 GPO(그룹 보안정책) 적용과 같은 사용자 환경의 위한 초기화 작업를 수행한 이후 마지막으로 우리에게 익숙한 Explorer.exe를 실행하고서 본 프로세스는 스스로 종료된다. 관련 정보는 레지스트리는 HKLM\SOFTWARE\Microsft\Windows NT\CurrentVersion\Winlogon 의 하위 Userinit 값를 통해 확인할 수 있다. 그럼 Logon script는 어디서 실행하는 것일까? HKCU\Software\Policies\Microsoft\Windows\Syst.. 2022. 3. 23.
윈도우 - 서비스 계정 실무를 시작하면서 가장 많이 헷갈려 하는 부분이 바로 서비스들이 사용하는 계정이였다. 대부분의 사용자들이 서비스 계정 부분을 잘 이해하지 못하고 그저 서비스 문제가 생길 수 있겠다 생각하며 관리자 권한을 주거나 로컬 시스템 계정을 주게 된다. 하지만 이는 보안적으로 봤을 때, 해당 서비스에 과도한 권한을 주어, 해당 서비스로 인해 서버가 노출되거나 백도어가 심어지는 등의 공격을 당할 수 있는 문제를 야기할 수 있다. 그럼 서비스에서 사용하는 계정들이 무엇이 있고, 어떠한 권한들이 있는지 알아보도록 하자. 일반적으로 서비스에 계정을 등록하지 않는다면, 대부분의 서비스는 로컬 시스템 계정(SYSTEM 혹은 LocalSystem으로 표시)으로 실행되게 된다. 그 외에는 네트워크 서비스(Network Servi.. 2022. 3. 23.
시스템 프로세스(Windows Startup Process) - 서비스 관리자 Services.exe Service Control Manager로 SCM(이하 SCM)이라고도 불리며, 부팅시 Winlogon에 의해(윈도우 7/8/10/11은 Wininit) %Systemroot%\System32\Services.exe를 실행하게 된다. 이 프로세스는 서비스의 시작, 중지와 같은 서비스들과 상호 작용을 담당하고 상태 정보를 서비스 관리도구에게 전달하는등의 단순 서비스 제어 역활을 수행하게 된다.. 서비스는 대화식 로그온이 없이도 시스템 부팅 중 자동으로 실행되게 구성이 가능한 프로세스를 의미하며, 로그온 이후 수동으로 서비스를 시작하거나, 중지할 수 있다. 이 프로세스는 서비스 관리 도구와 상호 작용을 위해 단순히 윈도우 함수만을 호출한다.그리고 서비스는 HKLM\SYSTEM\CurrentControlSe.. 2022. 3. 14.
시스템 프로세스(Windows Startup Process) - 보안 관리자 Lsass.exe Lsass.exe(이하 Lsass)는 Local Security Authority Subsystem Service의 약자로, 줄여서 LSA(Local Security Authority)라고도 하며, 사용 인증과 관련하여 밀접한 관련이 있다. %Systemroot%\System32\Lsass.exe에서 실행되는 유저 모드 프로세스로서, 시스템의 보안 정책, 사용자 인증, 이벤트 로그에 보안 감사 메시지 전달 등, 윈도우의 전반적인 보안 처리를 담당하며, 이러한 서비스 관리는 Lsasrv.dll(%Systemroot%\System32\lsasrv.dll)을 이용해 구현된다. 그리고 LSA 관련 설정은 아래 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Lsa)에서 확인할 수 .. 2022. 3. 5.
시스템 프로세스(Windows Startup Process) - 로그인 관리자 Winlogon.exe 비스타 이전에는 부팅시 보안 인증을 담당하는 Lsass.exe(Local Security Authority Subsystem Service, LSA라고도 함)와 서비스를 관리하는 Services.exe(Service Control Manager, SCM)를 실행 하고(앞서 얘기했듯 비스타 이후부터는 Wininit.exe가 SCM과 LSA을 실행한다), 유저 로그인 동작을 위해 GINA(Graphical Identification and Authentication)를 호출하는 등 로그온, 로그오프 관련 기능을 수행한다. Winlogon은 대기시 항시 SAS(Secure attention sequence: Alt+Ctrl+Del)키 입력를 감시하다가, SAS키 입력 발생시 GINA를 불러와 사용자가 로그온 .. 2022. 3. 3.
시스템 프로세스(Windows Startup Process) - 서브시스템(Subsystem) 시스템 프로세스(시스템 지원 프로세스라고도 함)는 윈도우 시작 프로세스임과 동시에 사용자가 시스템을 사용하는 데 필요한 핵심 부분을 담당하는 프로세스들을 뜻한다. 이는 커널과 연결되는 서브시스템(Subsystem)을 구동하거나, 관리하는 역할을 한다. 한마디로 운영체제를 사용하는 사용자를 위해 유저 모드에서 동작하는 중요한 프로세스라 할 수 있다. 따라서 이는 윈도우 구조를 이해하기 위해 반드시 알아두어야 할 프로세스들이라 할 수 있다. 이 프로세스들은 Process explorer에서 아래와 같이 확인할 수 있다. 위 그림에 표시한 프로세스들이 우리가 4장에서 배울 주요 시스템 프로세스인 Smss.exe, Csrss.exe, Winlogon.exe, Lsass.exe, Services.exe 이며 이외.. 2022. 2. 21.
반응형