정보보호과정

2주차(5) - 2022/02/18 윈도우기초

ORIONPOINT 2022. 2. 18. 14:08

CMD 기본 경로 : CMD가 여기있다는 뜻

 

192.168.0.100 - Win 10 (1)

192.168.0.101 - Win 10 (2)

>> 공유 폴더 제작

https://rightful-grill-05f.notion.site/Windows-10-bfcc9e1a396347e1a8348e9309602fb4

 

로컬 보안 정책

Administrator 계정 이름 변경 > 권고사항

 

윈도우 이벤트 로그

 

  Windows 2000 / Xp / 2003 Windows Vista / 2008 / 7 / 10
주요 로깅 데이터 시스템, 보안, 응용 프로그램 시스템, 보안, 응용 프로그램 + a
로그 저장 형태 Binary Binary, XML
로그 확장자 .evt .evtx
경로 \Windows\System32\Config \Windows\System32\winevt\Logs

 

  • 이벤트 로그 분석 활용
    • 외부로부터의 침입 감지 및 추적
    • 시스템 성능 관리
    • 시스템의 장애 원인 분석
    • 시스템 취약점 분석

 

  • 이벤트 로그 종류
    • 응용 프로그램 로그
      • 기록되는 이벤트는 해당 제품의 개발자에 의해 결정
      • 모든 응용 프로그램이 이벤트 로그를 생성하지는 않음
    • 시스템 로그
      • 새로운 서비스의 등록 또는 시작 및 중단 등의 기록
    • 보안 로그
      • 로그온 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트 기록
    • 설치 로그
      • 어플리케이션 설치 시 발생하는 이벤트 기록

 

  • 이벤트 로그 헤더 (헤더 : 부가적인 정보 저장함. meta data)
    • 로그 이름
    • 원본
    • 날짜 및 시간
    • 이벤트 ID : 몇 개 정도는 알아두는게 좋다
    • 작업 범주
    • 수준
    • 키워드
    • 사용자
    • 컴퓨터
    • Opcode

 

  • 이벤트 수준 종류
    • 정보
      • 응용 프로그램, 드라이버 또는 서비스 같은 작업의 성공적인 동작을 설명하는 이벤트
    • 경고
      • 문제가 발생할 수 있는 가능성이 있음을 나타내는 이벤트
    • 오류
      • 중요한 작업의 실패와 같은 중요한 문제를 설명하는 이벤트
      • 데이터 손실이나 기능 손실 수반
    • 성공/실패 감사(보안로그)

- > AND나 OR 연산을 통해 정보를 조합해 필터링 해 로그를 찾기도 함

 

  • 보안 로그 주요 이벤트 ID 필터링
    • 4625 : 계정 로그인 실패
    • 4624 : 계정 로그인 성공
    • 4776 : 로컬 계정 자격증명 검사
    • 4777 : 도메인 계정 자격유효 검사 실패
    • 4720 : 사용자 계정 생성
    • 4722 : 사용자 계정 사용 가능 상태
    • 4723 : 계정 암호 변경 시도
    • 4724 : 계정의 암호를 원래대로
    • 4726 : 계정 사용 중지
    • 4726 : 계정 삭제
    • 4740 : 계정 잠김

 

  • 최대 로그 크기 산정 (권고 사항)
    • 평균 이벤트는 약 500 Byte
    • 1일 약 1,000개의 이벤트 발생한다고 가정
    • 1달(30일)동안 로그 저장되어야 한다고 기준 설정
      • 레지스트리에서 바꿀 수도 있음
      • HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application(Security, System)에서 MaxSize 더블 클릭 후 원하는 값으로 수정

 

DLL(Dynamic Link Library) 동적 링크 라이브러리

라이브러리 : 도서관이라는 의미처럼 책들(함수)이 많음

프로세스 : 도서관에 방문하는 사람. 본인이 (동작하기 위해) 찾는 책이 있음.

컴파일 하면 자기가 찾는 책을 Load 함. 로드 되어있는 DLL들이 Procexe에 표시됨

.dll도 실행파일임

 

.dll과 .exe와 차이점 

.exe는 혼자서 실행 가능

.dll은 혼자서 실행 안됨

 

함수중 LoadLibraryA 호출 되면 ntdll.dll에 있는 어떤 processattach 함수가 정보 넘겨서 실행 됨

정상.exe(정상 응용프로그램)에서 Malware.dll(악성코드가 담긴 dll)을 실행할 수도 있음

 

더보기

dll 관련

https://wnsgml972.github.io/setting/2018/11/01/dll_lib/

 

C, C++ 외부 라이브러리(dll, lib) 사용하기

Import Dynamic or Static Library By Visual Studio 목차 mosquitto나 ifcplusplused 같은 오픈소스를 Build 하기 위해 많은 노력을 했었는데 그 과정에서 얻게 된 지식을 공유하기 위해 작성하였습니다. dll, lib dll과 li

wnsgml972.github.io

 

https://dazemonkey.tistory.com/161

 

동적 링크 라이브러리 (DLL, Dynamic Link Library)

동적 링크 라이브러리는 마이크로소프트 윈도우 운영체제에 구현된 라이브러리로 프로그램의 반복적인 함수들을 한 곳에 모아놓고 다양한 프로그램에서 공유하여 사용할 수 있는 파일이다. 프

dazemonkey.tistory.com

 

https://www.slideshare.net/ssusere4785c/dll-2

 

Dll 파일 호출의 2가지 방법

dll 파일 호출 암시적 링크와 명시적 링크

www.slideshare.net

 

저작자표시