Windows internals 7/e windows internals에서의 최신 프로세스(morden app) 의미 UWP 앱 = 이머시브 프로세스(immersive process) = 윈도우 앱 윈도우 8 및 윈도우 서버 2012 이후부터 이용 가능한 새로운 유형의 어플리케이션 이전의 윈도우 프로세스는 전통적인 윈도우 프로세스/데스크톱 프로세스 라고 칭한다. 최신 프로세스를 생성하는 것은 올바른 실행 파일 경로를 CreateProcess에 전달하여 실행하는 그 이상이 필요하다. 특정 커맨드라인 인자 스토어 앱 패키지 이름으로 설정할 PROC_THREAD_ATTRIBUTE_PACKAGE_FULL_NAME키 해당 키를 문서화되어있지 않은 프로세스 속성인 UpdateProcThreadAttribute를 통..

Windows Internals 7/e ＃ Windows 프로세스 내부 구조:: 핵심 데이터 구조체 알아보기 ＃ 윈도우 프로세스 핵심 데이터 구조체에 대해서 알아보기 익스큐티브 프로세스 (EPROCESS) 모든 윈도우 프로세는 EPROCESS로 표현됨. 프로세스의 여러 속성 뿐만아니라 연관된 다른 구조체를 가리키는 포인터도 존재함. 시스템 주소 공간에 위치함 KPROCESS EPROCESS 구조체의 첫 필드인 PCB의 타입. 커널 프로세스를 위한 구조체 타입이다. 익스큐티브 루틴은 EPROCESS에 정보 저장, 그러나 운영체제 커널은 KPROCESS에 정보를 저장 커널의 일부로서 디스패처, 스케줄러, 인터럽트, 시간관리코드 등이 존재 —> 계층 간 원치 않는 종속성이 생기지 않도록 함. 익스큐티브 상위 ..

Windows 4대 로그 Application: 응용프로그램의 개발자에 따라 어떤 것이 로깅되는지 결정이 됨. Security Setup System

윈도우 부팅 후 로그인 창(Winlogon)에서 아이디와 패스워드를 입력하면, LSA 서브시스템이 인증 정보를 받아, NTLM 모듈에 넘기고, 이를 다시 SAM이 받아 로그인 처리를 한다. LSA(Local Security Authority) 란? 윈도우 인증과정에서 사용되는 주요 서비스 중 하나. 윈도우 인증의 핵심 서비스. 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사. (로컬 및 원격 로그인 포함) 계쩡명과 SID(Security ID)를 매칭하며 SRM이 생성한 감사 로그를 기록 NT 보안의 중심 서비스이며, 보안 서브시스템이라고 불린다. SAM(Security Account Manager)란? 사용자/그룹 계쩡 정보에 대한 데이터베이스를 관리 사용자 로그인 정보와 SA..

윈도우 프로세스 핵심 데이터 구조체에 대해서 알아보자. 익스큐티브 프로세스 (EPROCESS) - 모든 윈도우 프로세는 EPROCESS로 표현됨. - 프로세스의 여러 속성 뿐만아니라 연관된 다른 구조체를 가리키는 포인터도 존재함. - 시스템 주소 공간에 위치함 KPROCESS - EPROCESS 구조체의 첫 필드인 PCB의 타입. - 커널 프로세스를 위한 구조체 타입이다. - 익스큐티브 루틴은 EPROCESS에 정보 저장, 그러나 운영체제 커널은 KPROCESS에 정보를 저장 - 커널의 일부로서 디스패처, 스케줄러, 인터럽트, 시간관리코드 등이 존재 --> 익스큐티브 상위 레벨 기능과.. 해당 기능의 구현을 위한 하위 레벨 함수의 구현 간에 추상화 계층을 제공 --> 계층 간 원치 않는 종속성이 생기지 ..

윈도우 보안의 주 구성요소 및 DB는 %SystemRoot%\System32 디렉터리에 위치한다. 보안 참조 모니터(SRM,Security Reference Monitor) - Ntpslrm.exe에 포함된 구성요소. 보안 컨텍스트를 기술하기 위한 접근 토큰의 데이터 구조체를 정의. - 객체에 대한 보안 접근 검사 실시 - 특권 조작 및 보안 감사 메시지의 결과 생성 로컬 보안 권한 서브시스템 서비스(Lsass, Local Security Auythority SubSystem Service) - Lsass.exe를 실행하는 유저 모드 프로세스. - 로컬 시스템의 보안 정책과 사용자 인증, 이벤트 로그로의 보안 감사 메시지 전달을 담당함. - 로컬 보안 권한 서비스인 Lsasrv.dll은 Lsass가 로드..