[정보보안기사] Windows System

1. 윈도우 인증

- Winlogon : 윈도우 로그인 프로세스

- GINA(msgina.dll) : Winlogon이 msgina.dll을 로딩해 사용자가 입력한 계정과 암호를 LSA에게 전달

- LSA(lsass.exe) : 계정과 암호를 검증하기 위해 NTLM(암호화) 모듈로 계정 검증, SRM이 작성한 감사로그 기록

- SAM : 사용자 계정정보에 저장

- SRM : 사용자에게 고유 SID를 부여하고 권한을 부여

---

2. 윈도우 실행 프로세스

- wininit.exe : 윈도우 시작 프로그램, 윈도우 세션 0 생성

- services.exe : 윈도우 서비스 관리

- lsm.exe : 시스템 관리, 주요 함수 실행, 호스트 컴퓨터와 서버의 연결 관리

- lsass.exe : 사용자 로그인 검사, 비밀번호 변경 관리, 액세스 토큰 생성, Security Log 작성

- svchost.exe : 서비스를 관리하기 위한 프로세스

- conhost.exe : 문자 출력, 입력 장치의 입력 허용 등 셸의 기본 기능 수행

---

3. NTFS 파일 시스템

- USN 저널 : 파일 시스템이 변경될 때 그 내용을 기록하여 복구 가능

- ADS : MAC 파일 시스템과의 호환성을 위해 만든 공간

- EFS : 대칭키 기법으로 파일 데이터를 암호화

- VBR : NTFS 파일 시스템의 제일 처음에 위치함, 부트 섹터, 부트 코드 등의 정보

- MFT : NTFS의 메타정보, 파일 및 디렉터리 등의 정보를 관리, 파일 위치, 속성, 시간정보, 파일명 등의 정보

---

4. Registry(레지스트리)

- Registry란 : 윈도우 운영체제의 설정과 선택 항목 정보를 저장하고 관리하기 위한 계층형 데이터베이스

- HKEY_CLASSES_ROOT : 파일의 각 확장자에 대한 정보와 프로그램 간의 연결에 대한 정보

- HKEY_CURRENT_USER : 현재 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보

- HKEY_LOCAL_MACHINE : 설치된 하드웨어를 구동하는데 필요한 정보

- HKEY_USERS : 사용자에 대한 정보

- HKEY_CURRENT_CONFIG : 시스템이 시작할 때 사용하는 하드웨어 정보, 디스플레이 및 프린트 설정 정보

* Hive 파일 : 레지스트 정보를 가지고 있는 물리적인 파일

---

5. Event Log

- 윈도우 시스템을 사용하는 동안 발생되는 모든 내용을 시간 순으로 기록한 로그 파일

- 응용 프로그램 로그 : 응용 프로그램에 기록할 이벤트들이 수록된 자료

- 보안 로그 : 로그인 횟수, 로그인 오류 정보, 파일 생성 및 삭제 등의 이벤트 기록

- 시스템 로그 : 윈도우 시스템 구성요소에서 기록한 이벤트 자료

---

6. 웹 아티팩트 분석

- 사용자가 웹 사이트를 이용한 흔적을 분석

- 캐시 : 다운로드 받은 이미지 텍스트 파일, 아이콘 등

- 히스토리 분석 : 웹 사이트 접속 정보

- 쿠키 정보 : 호스트 정보, 경로, 수정시간 등