보안기사_시스템보안

+utmp

• 로그인 정보 저장
• who, w
• /var/run/utmp

+wtmp

• 로그인 로그아웃 정보
• 접속정보 기록
• /var/log 디렉터리에 존재
• 명령어 : last
• 시스템 관련정보
• 시스템 종료(shutdown) 및 부팅(Booting) 정보
• 재부팅(Reboot) 정보
• telnet 및 ftp 등을 통한 로그인 정보

+btmp

• 로그인 실패기록
• 바이너리 저장
• 명령어: lastb

+리눅스 리다이렉션(Rediection)

> 

• 출력방향 전환으로 파일 존재시 덮어씀

>>

• 표준출력에 추가

<

• 출력방향 전환으로 파일 존재시 덮어씀

<<

• 표준출력에 추가함.

---

<윈도우 인증 프로세스 구성요소>

+Winlogon

• 윈도우 로그온 프로세스

+ GINA(msgina.dll)

• Winlogon은 msgina.dll 을 로딩하여 사용자가 입력한 계정과 암호를 LSA에게 전달

+LSA(lsass.exe)

• 계정과 암호를 검증하기 위해 NTLM(암호화) 모듈을 로딩하고 계정을 검증
• SRM이 작성한 감사로그 기록

+SAM

• 사용자 계정정보(해시 값)에 저장
• 리눅스 /etc/shadow 같은 역할

+SRM

• 사용자에게 고유 SID 부여 및 권한 부여

---

<윈도우 운영체제 관련 프로세스 세부내역>

+wininit.exe

• 윈도우 시작 프로그램

+services.exe

• 윈도우 서비스를 관리

+lsm.exe

• Local Session Manager
• 시스템 관리 작업, 주요 함수 실행, 호스트 컴퓨터와 서버의 연결을 관리

+lsass.exe

• LSASS(Local Security Authority Subsystem Service)
• 사용자 로그인 검사, 비밀번호 변경 관리, 액세스 토큰을 생성
• Windows Security Log 를 작성

+ svchost.exe

• 서비스를 관리하기 위한 프로세스

+conhost.exe

• 키보드, 마우스 입력 허용, 문자 출력, 콘솔 API 등 셀의 기본 기능 수행

---

<윈도우 운영체제 관련 프로세스 세부 내역>

+wininit.exe

• 윈도우 시작 프로그램

+services.exe

• 윈도우 서비스를 관리

+lsm.exe

• Local Session Manager
• 시스템 관리 작업, 주요 함수 실행, 호스트 컴퓨터와 서버의 연결을 관리

+lsass.exe

• LSASS(Local Security Authority Subsystem Service)
• 사용자 로그인 검사, 비밀번호 변경관리, 액서스 토큰을 생성
• Windows Security Log를 작성

+svchost.exe

• 서비스를 관리하기 위한 프로세스

+conhost.ext

• 키보드, 마우스 입력 허용, 문자 출력, 콘솔 API등 쉘의 기본 기능을 수행