Plummmm♪

SID는 보안 주체 또는 보안 그룹을 고유하게 식별하는 데 사용됨 보안 주체는 사용자 계정, 컴퓨터 계정 또는 사용자 또는 컴퓨터 계정의 보안 컨텍스트에서 실행되는 스레드 또는 프로세스와 같이 운영 체제에서 인증할 수 있는 모든 엔터티를 나타낸다. S-R-I-A[-A] 뒤에 -A가 계속 추가되는 구조 S: 고정된 값 S = Identifies a SID R: 보정 값 1 = 현재는 1이 사용된다. MS 마음대로 바뀔수 있음. I: 권한 식별 0 = Null 1 = World(Everyone) 2 = Local 3 = Creator 4 = Non-unique ID 5 = NT authority A: 하위 권한 식별 0 = Null 1 = Dialup 2 = Network 3 = Batch 4 = Inter..

Local Security Authority Subsystem Service의 약자로 LSA라고도 부른다. 단어 그대로 보안관리자이다. %Systemroot%\System32\Lsass.exe 에서 실행되는 프로세스로, 시스템 보안정책, 사용자 인증, 이벤트 로그에 보안 감사 메세지 전달 등 윈도우 전반적인 보안 관련 작업을 처리하는 프로세스이다. 서비스 관리는 %Systemroot%\System32\Lsasrv.dll 에서 구현된다. LSA 관련 설정은 아래 그림에 보이는 경로에서 설정함. LSA 기능 중 사용자 인증 과정은 Winlogon에서 로드한 자격 증명 제공자로 부터 LsaLogonUser API를 통해 사용자 이름 과 패스워드 등 로그온 정보를 LSA가 받게된다. 그리고 이 내용이 네트워크 ..

[ WinDbg 명령어 요약 ] - Debugger Commands : 일반적인 디버거 명령 A (Assemble), U (Unassemble) BL (Breakpoint List), BC (Breakpoint clear) BD (Breakpoint Disable), BE (Breakpoint Enable) BA (Break on Access) BP, BU (Set Breakpoint) // BU : (unresolved - bp유지) D, DA, DB, DW, DD (Display Memory) Dds (Display words and Symbols) DL (Display Linked List) LIST_ENTRY or SINGLE_LIST_ ... DS, Ds (Display String) DT (D..

이번에는 윈도우 로그인 관리자인 Winlogon.exe 에 대해 공부해보겠음. 오늘 배울 과정에 대한 그림 설명을 잠시 하자면, 윈도우 비스타 이전 : Winlogon.exe가 Lsass.exe와 Services.exe 를 실행시킴. 윈도우 비스타 이후 : Winlogon.exe와 Wininit.exe가 함께 실행되고, Wininit.exe가 Lsass.exe와 Services.exe를 실행시킨다. Lsass.exe ( Local Security Authority Subsystem Service )는 부팅시 보안 인증을 담당하고 LSA 라고도 부른다. Services.exe ( Service Control Manager )는 서비스를 관리하고, SCM 이라고도 부른다. Winlogon 은 또한 유저 로그..

이번에 할 내용은 Csrss.exe 이다. Smss.exe가 로드하는 3개의 서브시스템 중 하나. Client - Server Runtime SubSystem 의 약자다이다. ss가 약자면 다 서브시스템인 모양이다. 윈도우 서브시스템 이라고도 불리며, 프로세스와 스레드를 관리하는 역할을 한다. 이것도 네이티브 어플리케이션이다. Csrss는 실행시에 Basesrv.dll, Winsrv.dll, Csrsrv.dll을 로드하여 콘솔 윈도우 처리, 프로세스와 스레드 생성과 삭제, 16비트 가상 DOS머신 프로세스를 위한 기능 일부 및 SxS(Side by Side)를 지원한다. Basesrv.dll : BaseServerApiDispatchTable Winsrv.dll : ConsoleServerDispatch..