Tag Archives: windows

Windows, Linux Memory Swap and Paging

리눅스와 윈도우는 메모리 관리 방법에 대해서 얘기해 보고자 한다. 윈도우와 리눅스는 기본적으로 메모리 관리 체계는 같다. 다만 이를 운용하는 방식이 조금 다르다고 할 수 있다. Windows / Linux 가상 메모리 관리 – Paging, Swap 윈도우와 리눅스 모두 부족한 메모리를 위해 페이징(paging), 리눅스에서는 스왑(swap)을 통해 부족한 메모리를 보조저장장치인 하드 디스크를 사용하게 된다. 이를 보통 “가상 메모리“라고

Read More

Linux/Windows File System performance Check

Linux/Windows File System performance Check 최근에 캐미를 발생할 수 있는 좋은 대화를 이어갔다. 그중에 몇가지를 정리하여 올려보고자 한다. 그전에는 신경쓰지 않고 추천 하는 기본 설정을 활용하였는데, 이참에 정리하여 두면 추후에 좋을 것 같아 이렇게 남긴다. Windows And Linux FileSystem Windows는 크게 FAT16~FAT32로와 NTFS, 그리고 최근 REFS가 존재한다. FAT32는 단순 파일 시스템으로 Windows 95시절 많이 사용되었고,

Read More

Revelation – Windows 암호 보여주는 프로그램

간혹 자동 저장해 놓은 암호를 잃어버렸거나 공용 컴퓨터에서 별모양으로 표시되는 암호를 해독할때 용의 하게 사용할 수 있습니다. 비스타까지 잘 되더군요 🙂 프로그램 사용 방법은 아주 간단합니다. 별 모양 암호 보기 1. 압축을 풀고 revelation.exe를 실행합니다. 2. 그림에서 처럼  조준커서를 마우스로 보고자하는 별표시에  끌어 놓으면 Text of Window Under 구역에 별표의 실제 내용이 표시됩니다. ( Status가 녹색이 될때까지 커서로 누르고 있으면 됩니다.)

Disable Windows Update Auto-reboot

Windows 10혹은 Windows 2016의 경우 Restart Option이 기본적으로 활성화 되어 있어, 윈도우 업데이트가 있는 경우 지정된 시간에 재시작 알람이 가도록 되어 있습니다. 아래는 시스템에서 보안/업데이트 고급 설정이나 재시작 옵션으로 확인이 가능합니다.(본 옵션의 Windows 10과 Windows 2016에만 존재합니다) For Windows 10 or Windows 2016, the Restart Option is enabled by default, and if there is a

Read More

서브시스템 관리자 Csrss.exe (Client-Server Runtime Subsystem)

Client-Server Runtime Subsystem의 약자로, Basesrv.dll, winsrv.dll, csrsrv.dll를 로드하여 Console Windows 처리, 프로세스와 스레드 생성과 삭제, 16비트 가상 DOS 머신(VDM) 프로세스를 위한 기능 일부 및 SxS(Side-by-Side) 지원 한다. Windows Startup Process임과 동시에 서브시스템 관리 프로세스로써 중요한 위치를 차지하는 프로세스이며, 이 역시 네이티브 어플리케이션이다. 레지스트리 (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Windows키)에서 설정값을 확인할 수 있다. 그리고 CSRSS은 윈도우 서브시스템 DLL과 빠른

Read More

윈도우 세션 관리자 Smss.exe (Session Manager Subsystem)

Smss.exe는 Session Manager Subsystem의 약자로, 부팅 이후 최초로 생성되는 시스템 구동에 필요한 프로세스이다. (1장 후반부 성능 부분에서 Xperf를 통해 부팅 프로세스를 확인할 수는데 부팅 최초 프로세스로 확인할 수 있다.) Smss.exe는 레지스트리 정보를 확인하여, 먼저 기본 실행 파일(…\Session Manager\BootExecute)을 확인하여 실행하게 된다. (기본적으로는 autochk, 디스크검사가 실행된다.) 그리고 시스템 환경 설정을 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment)에서 확인하고 설정에 맞게 초기화

Read More

Volatility 사용법 – Windows 메모리 포랜식 분석

Volatility – 메모리 분석 Volatility는 Volatile Systems https://www.volatilesystems.com/default/volatility 회사에서 공개한 메모리 덤프 분석 도구이다. 사고 머신의 메모리 덤프를 편리하게 분석할 수 있는 도구 중 이만큼 확장성과 유연성을 겸비 도구를 찾아보기 어려울 만큼 상당한 분석력을 자랑한다. Volatility는 파이션(Vbscript와 함께 분석가들이 많이 사용하는 스크립트 언어, http://www.python.org)으로 개발된 도구로, 현재 2.0 버전까지 존재하며, 윈도우7까지 지원한다. 본 도구은 파이션을

Read More