Plummmm♪

Ntdll.dll은 사용자의 요청을 의도에 맞게 조정하여 커널 처리 요청으로 보내주는 것은 처음에 언급해서 다들 알고있을거라 생각한다. 각각의 요청들을 서브시스템이 수집하여 Ntdll.dll로 보내어 커널로 요청을 보내는 과정. 지금까지 포스팅하며 공부했던 내용의 큰 그림은 이것이다. 커널 모드 이용 권한이 필요한 시스템 명령들을 System Service API 즉, 네이티브 API라 한다. 서브시스템이 필요에 맞게 수집하고 구분지어놓은 명령들을 Ntdll.dll을 통해 진행된다. Ntdll.dll 처럼 통일된 인터페이스를 제공하여 자원 관리의 효율성을 증대시키기 위해서 고안된 구조이다. 그럼 커널 모드에 진입은 어떻게 하는 것일까. int 0x2e (혹은 Sysenter) 명령을 통해 커널모드로 진입..

Userinit Logon Application 약자로, 유저 세션을 초기화하는 프로세스이다. 유저 로그인에 성공하면 로그온 스크립트를 실행하고 사용자 환경을 위한 초기화 작업 (그룹 보안 정책(GPO) 등을 적용) 이 끝나고 나면 Explore.exe 를 실행하고 자신은 종료된다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 의 Userinit 값을 통해 확인할 수 있따. 그럼 처음에 언급한 로그온 스크립트는 어디서 실행할까. HKCU\Software\Policies\Microsoft\Windows\System\Scripts에 존재하는데, 설정이 안되어 있으면 존재하지 않는다. 설정은 Gpedit.msc에서 확인이 가능. 출처 : 리버싱 윈도..

서비스 관리자 Services.exe 이다. Service Control Manager , SCM이라고도 불린다. 앞서 설명 했다시피 Winlogon에 의해 실행된다. 서비스의 시작, 중지 상태 정보를 서비스 관리 도구에 전달 등의 단순한 서비스 제어 기능을 한다. 서비스는 따로 로그온 과정 같은 것이 필요없고.. 윈도우가 부팅되면 자동으로 실행되는 프로세스들로 구성되어 있따. 물론 로그온 이후 서비스 시작, 중지가 가능하다. HKLM\SYSTEM\CurrentControlSet\Services 에 드라이버들과 함께 정의 되어 있다. 그 중 일부는 svchost에 의지해서 실행한다. Svchost는 DLL에서 실행되는 서비스에 대한 호스트 프로세스라고 말할 수 있다. cmd창에서 "tasklist /sv..

Lsass.exe 공부할 때, 도메인 로그인 부분은 넘어 갔었제. 이제 그 부분 공부를 좀 해보겠음. 리버싱 윈도우 책에는 언급하지 않았지만 정리 해두는 편이 나중에 나오는 부분에서 이해를 쉽게할 수 있따. 일단 도메인, Active Directory 개념을 알아야 한다. 먼저 도메인. 도메인은 공통된 데이터베이스 및 보안 정책을 공유하는 네트워크 PC의 그룹이다. 시스템 속성에 들어가서 작업 그룹을 확인하면 내가 속한 도메인이 무엇인지 알 수 있따. 각 도메인은 고유한 이름을 가지며, 접근할 때마다 로그인 정보를 입력해야한다. 다음.. Active Directory란?? LDAP(Lightweight Directory Access Protocol, 경량 디렉토리 엑세스 프로토콜) 서비스를 윈도우에 구현..

이번에는 LSA Security Policy DB에 대해 알아본다. 앞전에 보여줬던 NT 보안 요소들 간의 관계도이다. 동그라미친 Security Policy DB를 보자. 이름 그대로 "보안 정책을 저장하는 저장소"이다. 로컬 시스템의 보안 정책, 계정 정보를 HKEY_LOCAL_MACHINE 의 SAM과 SECURITY에 저장한다. 요 안에 저장된 목록들은 아래와 같음. 1. 로그인 방식 2. 도메인 리스트 3. 시스템 접근 권한 4. 보안 감사 수행 5, 캐시된 도메인 로그온과 윈도우 계정 로그온 정보 저장 ( 중요한 기밀이므로 시스템 계정으로만 접근 가능.) 5번을 보면 접근이 불가능하다. 당연한거 겠지?? 중요한 기밀 정보이기때문에. 하지만 또 확인 하는 방법이 있지.. Psexec 를 사용하면..