다음을 통해 공유


[회보 보관 ^] [< 볼륨 6, 번호 2] [볼륨 7, 특별 공지 >]

시스템 내부 뉴스레터 7권, 1호

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich


2005년 1월 5일 - 이번 호에서:

  1. 사설

    • DEP가 있습니까?
  2. WINDOWS 내부용, 4판

  3. SYSINTERNALS의 새로운 소식

    • 11월 통계
    • Sysinternals 매거진 기사
    • Sysinternals RSS 피드
    • Mark는 Microsoft MVP입니다.
    • 자동 실행 v6.01
    • Process Explorer v8.61
    • Sigcheck v1.0
    • Bginfo v4.07
    • Regjump v1.0
    • Hex2dec v1.0
    • Tcpvcon v2.34
    • PsTools Updates
    • Microsoft의 Sysinternals
  4. 내부 정보

    • 인터넷 브라우징
    • LiveKd를 사용하여 골치 아픈 시스템 문제 해결
    • CreekSide?
    • ChkReg 레지스트리 해결사
    • Windows 메모리 진단
    • 문서화되지 않은 인터페이스 연구
  5. 내부 학습

    • 샌프란시스코의 Windows 연결
    • Mark Russinovich 및 David Solomon의 실습 Windows Internals/Sysinternals 클래스

Sysinternals 뉴스레터는 Winternals Software가 후원하며 웹(http://www.winternals.com)에서 제공됩니다. Winternals Software는 Windows NT/2000/XP/2003용 고급 시스템 도구의 선도적인 개발업체이자 제공업체입니다.

Winternals는 ERD Commander 2005를 포함한 포괄적인 업데이트가 포함된 곧 출시될 Administrator's Pak 5.0 릴리스를 발표하게 된 것을 기쁘게 생각합니다.

ERD Commander 2005의 새로운 기능은 다음과 같습니다.

  • 크래시 분석기: 시스템이 부팅되지 않는 경우에도 Windows 충돌의 원인이 되는 드라이버를 빠르고 쉽게 진단합니다.
  • DiskWipe - 하드 디스크 또는 볼륨을 안전하게 지웁니다. 자동 실행: Windows 설정 및 사용자 로그온 시 어떤 애플리케이션이 시작되는지 확인 - 시스템 리소스 문제를 진단하고 잠재적인 맬웨어를 찾는 데 유용합니다.
  • FireFox 웹 브라우저: 수리하려는 시스템에서 핫픽스, 드라이버 업데이트 다운로드, Microsoft 기술 자료에서 도움말 검색
  • 부팅할 수 없는 시스템에서 핫픽스 및 서비스 팩을 제거할 수 있는 핫픽스 제거 마법사
  • Windows 시스템 파일의 무결성을 검사하는 시스템 파일 복구.

이러한 기능, ERD Commander 2005에 대한 수많은 개선 사항 및 유용성 향상, Windows PE 기반 원격 복구 클라이언트를 구축하고 사용하기 쉬운 새로운 기능이 모두 2005년 1월 말에 제공되는 새로운 Administrator's Pak 5.0에 포함되어 있습니다. Administrator's Pak 5.0이 출시되었을 때 평가판을 신청하려면 http://www.winternals.com/ap5preview/.을(를) 방문하세요.

사설

여러분, 안녕하세요.

Sysinternals 뉴스레터에 오신 것을 환영합니다. 현재 뉴스레터의 구독자는 40,000명입니다.

스파이웨어 및 바이러스를 포함한 맬웨어의 증가 추세로 인해 모든 사람이 보안에 대해 우려하고 있습니다. 훌륭한 보안 조치에는 운영 체제 및 애플리케이션 패치 유지, 방화벽, 바이러스 백신 및 스파이웨어 제거 도구 설치 및 구성, 인터넷에서 다운로드하거나 전자 메일 첨부 파일을 열 때 판단하는 것이 포함됩니다. 그러나 철저한 조치에도 불구하고 맬웨어는 여전히 방어 수단을 통해 잠입하여 컴퓨터를 감염시킬 수 있는 방법을 찾을 수 있습니다. 시스템 방어의 가장 일반적인 허점은 버퍼 오버플로우 취약점이며, 이것이 Windows XP 서비스 팩 2의 데이터 실행 방지(DEP) 기능에 대해 잘 알고 있어야 하는 이유입니다.

버퍼 오버플로는 악성 프로그램이 코딩 오류를 실행하는 스레드를 제어하기 위해 이용할 수 있는 프로그래밍 오류입니다. 버퍼 오버플로는 일반적으로 스택 기반입니다. 즉, 공격자가 스택에 저장된 버퍼에 맞는 것보다 더 많은 데이터를 프로그램에 제공한다는 의미입니다. 데이터는 오버플로가 있는 함수가 호출된 함수로 돌아가려고 할 때 대신 데이터의 위치로 돌아가는 방식으로 만들어집니다.

불행하게도 버퍼 오버플로우 오류는 가장 잘 테스트되고 검토된 소프트웨어조차도 문제를 일으킬 수 있습니다. Windows 및 해당 구성 요소 소프트웨어에 대한 다중 버퍼 오버플로는 매월 발표됩니다(Linux 및 해당 애플리케이션은 Windows와 동등한 버퍼 오버플로가 많기 때문에 영향을 받지 않습니다). 대부분의 버퍼 오버플로 악용에 대한 공통 주제는 데이터만 포함해야 하는 메모리 영역에 배치된 코드를 실행한다는 것입니다.

Intel Itanium 프로세서는 릴리스부터 실행 금지 보호를 지원했지만 Windows XP SP2(및 곧 출시될 Windows Server 2003 SP1)까지는 Windows가 실제로 이 하드웨어 지원을 사용하지 않았습니다. 예를 들어 스레드 스택 및 힙 메모리를 실행할 수 없습니다. 비실행 하드웨어 보호를 지원하는 다른 프로세서로는 64비트 AMD64 Opteron 및 Athlon 64와 Intel의 클론인 EM64T가 있으며 현재 Xeon 및 Pentium 4 프로세서에서 사용할 수 있습니다. AMD와 Intel은 최근 실행을 지원하지 않는 32비트 프로세서인 AMD Sempron 및 Pentium 4 "J" 제품군(예: 520J, 540J 등)을 출시했습니다.

Windows는 기본적으로 버퍼 오버플로 익스플로잇을 방지하기 위해 스택 및 애플리케이션 힙 메모리에 대한 비실행 보호를 적용해야 한다는 것이 명백해 보일 수 있지만 수십만 개의 기존 애플리케이션이 있으며 그 중 일부는 실제로 실행되지 않는 설정에 의존할 수 있습니다. 올바른 작동을 위해 시행됩니다. 따라서 비실행 보호를 시행하는 Windows의 첫 번째 릴리스인 Windows XP SP2에서는 관리자가 보호되는 프로세스와 보호되지 않는 프로세스를 제어할 수 있습니다. 첫째, 향후 보안 향상을 목표로 한 결정에서 Windows 64비트 버전은 항상 모든 64비트 프로세스에 대해 실행 금지 플래그를 적용합니다. 소프트웨어 공급업체가 64비트 애플리케이션을 출시하려면 실행 가능하지 않은 메모리 영역에서 코드를 실행하지 않도록 해야 합니다. (Java 및 .NET 애플리케이션처럼 코드를 즉시 생성하는 경우 데이터 영역을 실행 가능으로 표시할 수 있습니다.).

둘째, 버퍼 오버플로 악용은 가장 일반적으로 운영 체제 구성 요소를 대상으로 하기 때문에 32비트 Windows XP 및 Windows Server 2003은 기본적으로 핵심 운영 체제 이미지를 보호합니다. 그러나 32비트 애플리케이션(32비트 Windows 또는 64비트 Windows에서 실행)의 경우 Windows XP는 기본적으로 "옵트인" 전략(애플리케이션은 기본적으로 보호되지 않음)인 반면 Windows Server 2003은 기본적으로 "옵트인" 전략입니다. out"(애플리케이션은 기본적으로 보호되지만 특정 애플리케이션은 제외될 수 있음). 보안은 일반적으로 서버 시스템에서 더 높은 우선 순위를 갖기 때문에 이치에 맞습니다. 시스템 제어판 애플릿의 고급 페이지에 있는 성능 섹션의 설정 버튼을 통해 액세스하는 DEP 구성 대화 상자에서 옵트인 또는 옵트아웃 설정을 변경할 수 있습니다.

앞서 언급했듯이 상대적으로 새로운 AMD Sempron 및 Pentium 4 "J" 프로세서를 제외하고 지금까지 출시된 모든 x86 호환 칩은 실행 안 함 지원이 부족합니다. 그러나 Windows XP 및 Windows Server 2003은 "소프트웨어 DEP"라는 프로세서에서 제한된 형태의 DEP를 구현합니다. 운영 체제는 스레드가 오류를 생성할 때 스레드를 제어하기 때문에 실행할 오류 처리기가 프로그램 코드에 의해 정적으로 등록된 것인지 확인할 수 있습니다. 이렇게 하면 오버플로된 스택 버퍼에서 악성 코드를 실행하도록 스레드의 오류 처리기를 리디렉션하는 익스플로잇이 방지됩니다. 이는 2001년에 출시되었을 때 CodeRed 바이러스로 인해 IIS가 수행한 작업입니다.

상대적으로 단순함에도 불구하고 DEP는 운영 체제가 자체 전파하는 맬웨어에 대한 방어막으로 제공하는 가장 강력한 방어 수단 중 하나입니다. 안타깝게도 현재 배포된 대부분의 프로세서에서 실행 안 함 설정에 대한 하드웨어 지원 부족, 핵심 운영 체제 프로세스만 보호되는 Windows XP의 기본 옵트인 설정, 인식 부족 등 세 가지가 그 성능을 제한합니다. 소프트웨어 DEP는 범위가 제한되어 있으므로 실행 안 함을 지원하는 하드웨어에서 Windows를 실행하지 않는 한 DEP는 약간만 효과적입니다. Windows XP가 기본적으로 옵트인으로 설정되어 있다는 사실은 사용자가 실행되지 않는 하드웨어에서 Windows를 실행하는 경우에도 DEP 보호를 받는 유일한 프로세스는 운영 체제의 프로세스임을 의미합니다. 웹 브라우저, 전자 메일 리더 또는 기타 네트워크 지원 애플리케이션은 여전히 취약합니다. 실제로 맬웨어, IIS 및 Outlook에 의해 가장 많이 악용되는 일부 애플리케이션은 옵트인 설정으로 보호되지 않습니다. 마지막으로 대부분의 사람들이 기본 동작 또는 DEP를 전혀 인식하지 못하기 때문에 시스템은 대부분 버퍼 오버플로 문제의 위험에 노출됩니다.

Microsoft가 사용자에게 더 나은 보안을 위해 호환성 가격을 지불하게 하거나 사용자가 바이러스에 의해 훨씬 더 높은 가격을 지불하게 될 때입니다. 그러면 Microsoft에 청구서를 넘길 것입니다. 그동안 Windows XP SP2(Windows XP 64-bit Edition 및 Windows Server 2003 SP1도 비실행을 지원함)로 업그레이드하고 옵트인으로 전환한 다음 비실행을 지원하는 프로세서로 업그레이드할 것을 적극 권장합니다. (안타깝지만 커미션은 받지 않습니다.)

뉴스레터 내용에 관심이 있을 것 같은 친구에게 뉴스레터를 전달하세요.

감사합니다!

-Mark

WINDOWS 내부용, 4판

제가 Dave Solomon과 공동 집필한 Windows Server 2003, Windows 2000 및 Windows XP의 내부에 대한 Microsoft의 공식 서적이 현재 서점에서 구할 수 있습니다. Dave와 저는 Windows Server 2003 및 XP 변경 사항뿐만 아니라 문제 해결 도구 및 기술에 대한 새로운 자료를 추가하여 이전 버전의 범위를 약 25% 확장했습니다. Process Explorer, Filemon 및 Regmon 사용에 대한 고급 팁을 찾을 수 있으며 Windows 크래시 덤프 분석에 대한 완전히 새로운 장이 있습니다.

책의 내용에 대해 자세히 알아보고 온라인으로 주문하세요.

http://www.sysinternals.com/windowsinternals.shtml

SYSINTERNALS의 새로운 소식

시스템 내부 RSS 피드

Sysinternals에 새 게시물 알림 메커니즘을 추가해 달라는 요청을 자주 받았기 때문에 마침내 웹 전반의 추세를 따라 RSS 피드를 추가했습니다(RSS 피드에 익숙하지 않은 경우 여기에 좋은 입문서가 있습니다. http://rss.softwaregarden.com/aboutrss.html). 피드는 또한 전면 페이지의 전체 목록을 보증하지 않는 사소한 버그 수정 및 업데이트를 알려줄 수 있는 기회를 제공합니다. 피드가 하루에 받는 조회 수를 기반으로 업데이트를 학습하는 사람들이 이미 선호하는 방법인 것 같습니다.

다음 위치에서 Sysinternals RSS 피드에 액세스하세요.

http://www.sysinternals.com/sysinternals.xml

SYSINTERNALS 잡지 기사

약 6개월 전에 Windows IT Pro Magazine(이전의 Windows 및 .NET Magazine)에서 Sysinternals 도구에 대한 반월 칼럼을 작성하기 시작했습니다. 각 열은 다른 도구에 대해 설명하고 고급 사용법에 대한 팁과 작동 방식에 대한 정보를 제공합니다.

아래 나열된 3개 게시 중 처음 두 개는 비구독자가 온라인으로 액세스할 수 있으며 세 번째는 곧 제공될 예정입니다.

자동 실행: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html

Pslist 및 Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html

PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

MARK는 MICROSOFT MVP입니다.

플랫폼 SDK Microsoft MVP(Most Valuable Professional) 리더는 저를 2005년 MVP로 선정했습니다. Sysinternals를 사용하여 Microsoft 고객에게 기여한 이 공식 승인을 그와 Microsoft에 감사드립니다.

11월 통계

마침내 Sysinternals를 위한 괜찮은 웹 트래픽 분석 프로그램을 얻었고 11월의 로그 파일을 분석했습니다. 그 숫자의 규모는 저에게도 놀라웠습니다. 몇 가지 주요 사항은 다음과 같습니다.

  • 360만 페이지 뷰
  • 순 방문자수 775,000명
  • 120만 유틸리티 다운로드
  • 다운로드 1위인 Process Explorer 200,000회 다운로드

AUTORUNS V6.01

Autoruns는 지난 몇 달 동안 두 가지 주요 버전 번호 업데이트를 통해 많은 발전을 이루었습니다. 자동 실행의 최신 릴리스는 Winlogon 알림 DLL, 탐색기 도구 모음, 네임스페이스 확장 및 브라우저 도우미 개체, 자동 초기화 DLL을 포함하여 표준 실행 키 및 시작 폴더 외에 자동 시작 위치를 표시합니다. 또 다른 새로운 기능인 Google 메뉴 항목(Process Explorer에서 차용)은 브라우저를 열고 선택한 이미지 이름의 검색을 시작하여 알 수 없는 이미지를 식별하는 데 도움이 됩니다.

또 다른 새로운 기능인 이미지 서명 확인은 맬웨어와 시스템 구성 요소 또는 신뢰할 수 있는 애플리케이션을 구별하는 데 도움이 될 수 있습니다. Microsoft는 일반적으로 Microsoft의 개인 서명 키로 서명된 운영 체제 파일의 해시를 포함합니다. Windows 암호화 기능은 Microsoft의 공개 서명 키로 서명된 해시를 해독하고 Autoruns는 해당 해시를 해독된 버전과 비교하여 시스템의 이미지 유효성을 검사하고 일치하는 경우 이미지의 회사 이름 앞에 "(확인됨)"을 붙입니다. 이미지가 변조, 손상, 교체되었거나 시스템에서 신뢰할 수 없는 게시자가 서명한 해시가 있는 경우 자동 실행은 이미지의 회사 이름을 "(확인되지 않음)"으로 보고합니다.

시스템 관리자는 로그인한 계정이 아닌 다른 계정의 자동 시작 이미지를 확인하고 싶을 수 있으므로 이제 자동 실행에는 컴퓨터에 저장된 프로필이 있는 각 계정에 대한 선택 항목이 포함된 사용자 메뉴가 포함됩니다.

마지막으로 이제 자동 실행 정보를 콘솔에 나열하는 Autorunsc라고 하는 자동 실행 GUI에 해당하는 명령줄이 있습니다. Sysinternals의 PsExec 유틸리티와 결합할 때 출력을 CSV 형식으로 지정하는 기능을 사용하면 네트워크 전체에서 컴퓨터에 대해 구성된 자동 시작 이미지의 인벤토리를 쉽게 생성할 수 있습니다.

다음에서 자동 실행 다운로드
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

프로세스 탐색기 V8.61

다시 한 번 말씀 드리지만 고급 프로세스 관리 유틸리티로서 Task Manager를 대체하는 도구인 Process Explorer는 제가 가장 집중했던 도구였습니다. 그 이유는 그에 대한 피드백을 너무 많이 받았기 때문입니다. 지난 뉴스레터 이후 Process Explorer는 버전 8.4에서 8.6으로 변경되었습니다. 선택한 프로세스에 대한 정보 검색을 시작하는 Google 메뉴 항목, 프로세스 이미지 파일에 있는 ASCII 및 유니코드 문자열을 나열하는 프로세스 속성 대화 상자의 문자열 탭, 문자열 선택한 DLL 이미지 파일의 문자열을 나열하는 메뉴 항목 및 Process Explorer 트레이 아이콘 위로 마우스를 가져갈 때 표시되는 툴팁에 CPU를 가장 많이 사용하는 프로세스의 이름이 표시됩니다.

많은 사람들이 작업 관리자 애플리케이션 탭과 같이 작업 관리자에서 전환할 때 놓친 기능을 요청했습니다. 애플리케이션 탭에는 각 창을 소유한 스레드의 상태와 함께 대화형 데스크톱의 최상위 창 목록이 표시됩니다. 스레드가 현재 Windows 메시지를 받기 위해 대기 중이거나 마지막 시간 내에 Windows 메시지를 처리한 경우 "실행 중" 그렇지 않으면 "응답하지 않음"입니다(아이러니하게도 이것은 일반적으로 "실행 중"은 스레드가 대기 중이고 "응답하지 않음"은 실행 중임을 나타냄을 의미합니다). 이제 프로세스 보기에 "창 제목" 및 "창 상태" 열을 추가하여 Process Explorer에서 이와 동일한 정보를 얻을 수 있습니다.

Process Explorer에는 .NET 프로세스에 대한 강조 표시 및 .NET 프로세스의 프로세스 속성 대화 상자에 있는 .NET 성능 탭을 포함하여 한동안 .NET 프로세스를 대상으로 하는 기능이 있었습니다. .NET 프로세스는 .NET 런타임에 로드되고 등록된 프로세스입니다. 프로세스가 시작된 후 일정 시간이 지나면 프로세스가 등록되는 경우 Process Explorer는 해당 프로세스가 .NET 프로세스임을 인식하지 못할 수 있지만 새로 고침 도구 모음 버튼을 눌러 디스플레이를 수동으로 새로 고칠 때 최신 릴리스에서 프로세스의 .NET 상태 및 작업 개체 구성원 자격을 다시 확인합니다. F5 키를 누르거나 새로 고침 메뉴 항목을 선택합니다.

어떤 프로세스가 창을 소유하고 있는지 확실하지 않은 경우 새 창 찾기 도구 모음 버튼을 사용하여 창을 식별할 수 있습니다. 대상처럼 보이는 도구 모음 버튼을 도구 모음에서 해당 창 위로 드래그하기만 하면 Process Explorer가 프로세스 보기에서 소유 프로세스를 선택합니다.

즉시 눈에 띄는 추가 기능은 도구 모음 근처에 표시되는 미니 CPU 그래프입니다. 이 그래프는 시스템의 CPU 사용 기록을 보여주며, Process Explorer 시스템 정보 대화 상자를 열기 위해 클릭할 때 표시되는 확장 버전과 마찬가지로 마우스를 위로 갖다대는 그래프 지점에 대한 타임스탬프 및 가장 높은 CPU 소비 프로세스를 포함하는 도구 설명을 제공합니다. Process Explorer 창의 너비에 걸쳐 확장되도록 그래프를 도구 모음 영역의 아무 곳이나 한 행으로 이동할 수 있습니다.

두 가지 보안 관련 기능은 이미지 서명 확인 및 데이터 실행 보호(DEP) 상태입니다. 이미지 서명 옵션을 활성화하면 Process Explorer는 프로세스 이미지가 신뢰할 수 있는 서명자에 의해 디지털 서명되었는지 확인하고 자동 실행과 마찬가지로 프로세스 속성 대화 상자에서 회사 이름 앞에 "확인됨" 또는 "확인되지 않음"을 붙입니다. 이미지 서명 확인은 서명 인증서의 유효성을 확인하기 위해 웹 사이트로 이동할 때 몇 초가 걸릴 수 있기 때문에 이 옵션은 기본적으로 비활성화되어 있습니다.

이 뉴스레터의 소개에서 설명하는 DEP는 버퍼 오버플로 악용에 대한 향상된 보호를 위해 Windows XP SP2에서 활성화해야 하는 것입니다. 프로세스 보기에 "DEP 상태" 열을 추가하거나 프로세스 속성 대화 상자의 이미지 페이지에서 "DEP 상태" 필드를 선택하여 프로세스의 DEP 상태를 확인할 수 있습니다.

마지막으로 Process Explorer는 커널 및 장치 드라이버 작업자 스레드와 관련된 프로세스인 시스템 프로세스의 DLL 보기에서 시스템에 로드된 드라이버를 나열합니다. 버전, 회사 이름, 전체 경로 및 시스템 주소 공간의 로드 주소를 포함하여 다른 프로세스에 대해 나열된 DLL과 동일한 정보를 각 드라이버에 대해 사용할 수 있습니다.

다음 위치에서 Process Explorer를 다운로드하세요.
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SIGCHECK V1.0

많은 Sysinternals 도구는 사용자가 맬웨어를 식별하는 데 도움이 되는 기능을 채택하고 있으며 Sigcheck는 거의 전적으로 해당 목표에 초점을 맞춘 명령줄 유틸리티입니다. 자동 실행 및 Process Explorer에 포함된 동일한 이미지 서명 확인 기능을 사용하여 파일이 신뢰할 수 있는 게시자에 의해 디지털 서명되었는지 여부를 알려줍니다. 또한 제품 이름, 설명, 회사 이름 및 버전을 포함하여 지정한 이미지에 대한 파일 버전 정보를 보고합니다. 이 정보는 Windows XP 및 Windows Server 2003과 함께 제공되는 Filever 도구가 보고하는 정보와 유사하지만 Sigcheck는 파일이 원래 서명되지 않은 이미지에 대해 "링크"되거나 생성된 시간 스탬프와 이미지 서명의 타임스탬프도 보고합니다. 그 서명. 마지막으로 대부분의 서명된 해시는 자체적으로 서명된 키로 서명되며 인증서 서명 체인이라고 하는 것을 형성하는 시퀀스입니다. Sigcheck는 체인의 각 서명자에 대한 정보와 함께 서명 체인을 인쇄하도록 지시하는 명령줄 옵션을 지원합니다.

Sigcheck의 잠재적인 보안 관련 용도 중 하나는 Windows 설치 루트 아래의 디렉터리(일반적으로 \Windows)에서 서명되지 않은 .exe .dll 또는 .sys 이미지를 조사하는 것입니다. 이 명령줄에서 Sigcheck를 실행하면 서명되지 않은 .exe 이미지를 쉽게 식별할 수 있습니다. 예를 들면 다음과 같습니다.

sigcheck -s -u c:\windows\*.exe

모든 Microsoft 이미지에는 유효한 서명이 포함되어야 하지만 위의 명령은 슬프게도 많은 서명이 포함되어 있지 않아 맬웨어를 숨기기 위해 잠재적으로 악용될 수 있는 파일을 생성합니다.

Sigcheck 다운로드
http://www.sysinternals.com/ntw2k/source/misc.shtml

BGINFO V4.07

쉽게 볼 수 있도록 실행하는 컴퓨터의 바탕 화면에 구성한 정보를 표시하는 도구인 Bginfo에 대한 이 사소한 업데이트는 지정한 크기에 맞게 확장해야 하는 비트맵, CPU 감지 향상, 지원 기능을 더 잘 지원하고 MySQL용으로 개선되었으며 다중 모니터 디스플레이 호환성이 향상되었습니다.

Bginfo 다운로드
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml

REGJUMP V1.0

특정 레지스트리 키에 대한 탐색기 바로 가기를 만들거나 단순히 키의 경로를 입력하고 대상 위치에 대한 Regedit를 열고 싶다면 Regjump가 유용하다는 것을 알게 될 것입니다. Regjump는 Regmon에서 개척한 것과 동일한 레지스트리 "점프" 기술을 사용하는 명령줄 유틸리티입니다. 명령줄 인수로 Regjump에 레지스트리 경로를 지정하면 Regedit가 열리고 지정된 키 또는 값으로 이동합니다.

다음에서 Regjump 다운로드
http://www.sysinternals.com/ntw2k/source/misc.shtml

HEX2DEC V1.0

디버거와 디스어셈블리로 작업하면서 종종 16진수를 10진수로 또는 그 반대로 변환해야 하는 경우가 많습니다. 마침내 Calc를 열고 숫자를 입력한 다음 변환을 보기 위해 기수를 전환하는 데 지쳐서 작은 명령줄 변환 유틸리티를 작성했습니다. Hex2dec은 어느 방향으로든 변환하고 "0x" 또는 "x" 접두어가 있거나 'a'-'f' 문자(대소문자 구분 안 함)를 포함하는 경우 입력을 16진수로 편리하게 식별합니다.

Hex2dec 다운로드
http://www.sysinternals.com/ntw2k/source/misc.shtml

TCPVCON V2.34

Netstat는 시스템에서 현재 활성화된 TCP 및 UDP 끝점을 보여주는 Windows NT 이상에서 기본 제공되는 명령줄 유틸리티입니다. Microsoft가 Windows XP와 함께 도입한 버전에는 각 엔드포인트를 연 프로세스의 PID(프로세스 식별자)와 같은 유용한 정보가 포함되어 있습니다. 그러나 프로세스의 이름이나 프로세스에 대한 다른 정보를 확인하려면 프로세스 목록 도구를 열고 해당 PID가 있는 프로세스를 찾아야 합니다.

TCPView는 동일한 활성 엔드포인트 정보를 표시하지만 Netstat보다 훨씬 더 편리한 Sysinternals GUI 애플리케이션입니다. 프로세스 이름이 포함되어 있고 DNS 이름과 원시 IP 주소 사이를 빠르게 전환하며 새 엔드포인트와 삭제된 엔드포인트를 색상으로 강조 표시하기 때문입니다. 이제 TCPView의 다운로드에는 명령줄 인터페이스를 사용하려는 사용자를 위한 TCPView의 콘솔 버전인 TCPVCon이 포함됩니다. Netstat와 달리 TCPVCon은 각 끝점과 연결된 프로세스의 전체 경로를 표시하고 출력을 CSV 형식으로 덤프하는 스위치를 포함합니다.

다음 위치에서 Tcpvcon 다운로드
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

PSTOOLS 업데이트

PsKill 및 PsLoglist는 지난 몇 개월 동안 향상된 기능을 제공하는 두 가지 PsTools입니다. 로컬 또는 원격 시스템에서 프로세스를 종료하는 명령줄 유틸리티인 PsKill은 이제 전체 프로세스 트리를 종료할 수 있도록 -t 스위치를 지원합니다. 많은 사람들이 배치 스크립트의 런어웨이 트리를 쉽게 정리할 수 있도록 이 옵션을 요청했습니다.

PsLoglist는 로컬 또는 원격 시스템에서 이벤트 로그를 덤프하는 명령줄 도구입니다. 최근 업데이트에서는 이미 긴 명령줄 한정자 목록에 5개의 옵션을 추가했습니다. 새 인수를 사용하면 지정된 이벤트 유형 또는 이벤트 원본을 출력에서 제외하거나 지난 몇 분 또는 몇 시간 동안의 이벤트만 덤프할 수 있습니다. 이제 종료할 때까지 실행되는 이벤트 로그 모니터링 모드를 지원하고 생성되는 이벤트 로그 레코드를 인쇄합니다.

다음에서 PsKill 및 PsLoglist를 포함한 PsTools를 다운로드하세요.
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

WWW.MICROSOFT.COM의 SYSINTERNALS

다음은 지난 뉴스레터 이후에 발표된 Microsoft 기술 자료(KB) 문서의 최신 Sysinternals 참조 자료입니다. 이로써 Sysinternals에 대한 공개 KB 참조 자료의 수는 총 63개가 되었습니다.

  • FIX: Windows용 Windows Media Player 9 시리즈가 레지스트리에 자주 액세스하여 성능에 영향을 줄 수 있음 http://support.microsoft.com/?kbid=886423

  • GDI+ 1.0 보안 업데이트 개요 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp

  • 레지스트리 편집 http://support.microsoft.com/default.aspx?scid=kb;en-gb;835818

  • 프로젝트 보기에 액세스하려고 하면 "이 보기에 표시할 정보가 없습니다"라는 오류 메시지가 나타납니다. http://support.microsoft.com/default.aspx?scid=kb;en-us;810596

내부 정보

인터넷 브라우징

약 1년 전에 저는 IE에는 팝업 차단, 탭 브라우징, 자동 양식 채우기 및 광고 필터링과 같은 적절한 인터넷 브라우저에 필수로 간주되는 기능이 없기 때문에 IE에서 Mozilla로 전환했다고 발표했습니다. 얼마 지나지 않아 누군가가 저에게 Avant Browser를 알려줬습니다. 이 브라우저는 IE(자체 브라우저가 아님)를 사용하여 그 이상을 제공하는 작은 다운로드입니다. Mozilla의 투박한 UI와 자주 사용하는 특정 사이트와의 호환성 부족으로 인해 쉽게 전환하기로 결정했습니다. 새 FireFox 릴리스가 두 가지 측면에서 모두 더 좋지만 여전히 일부 호환되지 않는 사이트(예: Windows Update)가 있으므로 다시 전환해야 할 필요는 없습니다.

Microsoft의 IE 개선 속도가 느리다는 점은 IE의 Windows XP SP2 개선 사항에도 불구하고 Avant Browser를 구입하여 다음 버전의 IE에 구축하는 데 부끄러운 일이 아닐 수 없습니다.

Avant Browser 다운로드 위치: http://www.avantbrowser.com

LIVEKD를 사용하여 아픈 시스템 문제 해결

LiveKd는 Inside Windows 2000의 3판용으로 작성한 유틸리티입니다(현재는 Sysinternals의 프리웨어 도구입니다). 이를 통해 Windows용 Microsoft 디버깅 도구 패키지의 Windbg 또는 Kd를 사용하여 온라인 상태이고 활성 상태인 시스템에서 크래시 덤프 및 정지된 시스템을 조사하는 데 일반적으로 사용되는 디버깅 명령을 실행할 수 있습니다. Microsoft는 Windows XP 이상에서 실행할 때 디버깅 도구에 대해 "로컬 커널 디버깅"이라는 유사한 기능을 도입했습니다. LiveKd로 할 수 있는 일이 몇 가지 있지만 로컬 커널 디버깅으로는 할 수 없습니다. 예를 들어 로컬 커널 디버깅으로 커널 모드 스레드 스택을 볼 수 없으며 list-kernel module 명령 lm k은 로컬 커널 디버깅에서 실행될 때 운영 체제 커널만 나열하고 다른 로드 드라이버는 나열하지 않습니다. 두 명령 모두 LiveKd 내에서 작동합니다.

로컬 커널 디버깅에서는 작동하지 않지만 LiveKd에서는 작동하는 또 다른 명령은 .dump입니다. Microsoft 제품 지원 서비스(PSS) 엔지니어로부터 .dump 명령이 문제가 있는 시스템의 문제를 해결하는 데 유용할 수 있다는 사실을 알게 되었습니다. 문제가 발생했지만 웹 또는 데이터베이스와 같은 서비스를 제공하는 컴퓨터는 조사 중에 시스템이 일시 중지되는 재부팅 또는 기존 디버깅 대상이 아닐 수 있습니다. LiveKd를 실행하고 .dump를 실행하면 시스템의 실제 메모리 내용이 포함된 크래시 덤프 형식의 파일이 생성됩니다. 덤프 파일을 다른 시스템으로 가져오고 덤프 파일을 WinDbg 또는 Kd에 로드하여 운영 체제 및 서비스 애플리케이션의 상태를 분석할 수 있으므로 문제의 원인을 조사하는 동안 중단을 방지할 수 있습니다.

LiveKd 다운로드 위치
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

CREEKSIDE?

저는 최근에 로그온 사용자 인터페이스 표시를 담당하는 시스템 프로세스인 Winlogon의 Windows XP 서비스 팩 2 버전 초기화를 조사하고 있었는데, Winlogon이 ediskeer.dll이라는 DLL이 있는지 확인하는 디스어셈블리에서 코드를 발견했습니다. \Windows\System32 디렉터리에 있는 경우 신뢰할 수 있는 서명자가 디지털 서명했는지 확인한 다음 이를 로드하고 DLL에서 내보낸 명명되지 않은 함수를 호출합니다. 누군가가 시스템에 로그온할 때 실행되는 Winlogon 코드도 DLL이 초기화 중에 로드된 경우 DLL을 호출합니다.

시스템에서 DLL을 찾았지만 찾지 못했고 서비스 팩 2 CD에서도 찾지 못했습니다. 그렇다면 DLL은 무엇입니까? Microsoft에서 운영 체제용으로 제공하는 디버그 기호를 사용하여 ediskeer.dll이 존재하고 서명된 경우 Winlogon이 "Creekside"라는 변수를 구성하는 것을 볼 수 있었고 그리고 나서 저는 "edisker"가 "creekside"의 마지막 8글자로 역순으로 구성되어 있다는 것을 깨달았습니다. Creekside가 무엇을 의미하는지 아직 확실하지 않지만 DLL이 Microsoft가 최근에 개발도상국을 위해 도입한 Windows XP의 저가 버전인 Windows XP Starter Edition에만 제공되는 DLL일 가능성이 큽니다. Starter Edition은 Windows XP Professional 및 Home Edition과 동일한 운영 체제 코어를 기반으로 하지만 사용자가 동시에 실행할 수 있는 애플리케이션 수에 제한이 있습니다. 제가 맞다면 Winlogon은 DLL을 로드하여 해당 제한을 적용하고 새 사용자가 로그온할 때마다 활성화합니다.

CHKREG 레지스트리 수정 프로그램

수년 동안 Bryce와 저는 파일 시스템 일관성 검사 유틸리티인 Chkdsk에 대한 레지스트리 유추에 대한 수많은 요청을 받았습니다. 우리는 우리의 노력에 비해서는 한 가지에 대한 대상 집단이 너무 작다고 느꼈기 때문에 이에 대해 한 번도 문서를 작성하지 않았습니다. 약 1년 전 Microsoft는 많은 유형의 레지스트리 손상을 수정하는 레지스트리용 Chkdsk인 거의 알려지지 않은 Chkreg를 출시했습니다.

안타깝게도 Chkreg는 Windows 2000에서만 지원되며(Windows NT 4 및 Windows XP 레지스트리에서도 작동할 수 있음) Windows API 대신 네이티브 API를 사용하는 "네이티브" 애플리케이션으로 구현되므로 Windows에서 실행되지 않습니다. 다운로드할 때 지루하고 시간이 많이 걸리는 6개의 Windows 설치 부팅 플로피 세트에 설치해야 합니다. 우리는 Chkreg 개발자에게 연락하여 Microsoft 고객기술지원부(PSS)가 사내에서 사용하고 있다는 사실을 알게 된 Windows 버전을 공개적으로 출시할 것을 권장했지만 출시 시기 또는 여부에 대해서는 언급하지 않았습니다.

Chkreg는 다음에서 다운로드할 수 있습니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

WINDOWS 메모리 진단

Windows 사용자에게 가장 실망스러운 경험 중 하나는 작동이 중단되는 시스템입니다. 대부분의 경우 결함은 버그가 있는 타사 장치 드라이버이며 드라이버를 비활성화하거나 수정된 버전으로 업데이트하여 해결할 수 있습니다. Microsoft OCA(Online Crash Analysis)에 보고된 충돌의 약 10%는 하드웨어 문제로 인해 발생하며 대부분은 디스크 및 메모리와 관련이 있습니다.

OCA가 진단할 수 없는 충돌이 발생하거나 메모리 문제가 의심되는 경우 Microsoft가 최근에 출시한 메모리 검사 도구인 Microsoft Windows 메모리 진단(WMD)을 사용하여 몇 분을 보내야 합니다. WMD 설치 프로그램은 WMD 프로그램을 저장할 플로피 디스크나 CD를 요구합니다. 사용자가 만든 플로피나 CD에서 시스템을 부팅하면 WMD가 실행되어 컴퓨터 메모리를 철저히 테스트하고 진행 상황과 문제를 화면에 보고합니다. 메모리 오류가 있는 경우 WMD는 끝없는 Windows 충돌로 인한 좌절감을 덜어줄 수 있습니다.

에서 Windows 메모리 진단을 다운로드할 수 있습니다. http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

문서화되지 않은 인터페이스 연구

뉴스레터 앞부분의 Process Explorer 개선 사항 섹션에서 설명한 DEP 상태 기능은 문서화되지 않은 기능에 의존합니다. Windows 소스 코드(Windows Internals의 공동 저자인 Dave Solomon은 액세스할 수 있지만 저는 액세스할 수 없음)에 액세스하지 않고 기능과 적절한 사용법을 발견한 방법에 대해 많은 분들이 관심을 가질 것이라고 생각했습니다.

저의 분석 프로세스의 첫 번째 단계는 프로세스에 대한 DEP 상태 쿼리가 NtQueryInformationProcess API를 통해 라우팅될 것이라는 가설을 세우는 것이었습니다. 프로세스에 대한 정보를 검색하는 많은 Windows API 함수는 NtQueryInformationProcess 인터페이스를 사용하여 정보를 얻습니다. Windows DDK(Driver Development Kit)의 Ntddk.h 파일에 프로토타입으로 제공되는 이 함수는 "네이티브 API" 시스템 호출 인터페이스를 통해 사용자 모드에서 액세스할 수 있습니다.

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

처음 두 인수는 프로세스에 대한 핸들과 "프로세스 정보 클래스"입니다. 아래에 표시된 처음 몇 가지 정의인 PROCESSINFOCLASS 열거형도 NTDDK.H에 포함됩니다.

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
//...

DEP는 Windows XP SP2에 도입되었기 때문에 Windows XP 또는 Windows Server 2003 버전의 Ntddk.h에 DEP 쿼리에 대한 정보 클래스가 나열될 것으로 예상하지 않았으며 빠른 확인 결과 해당 클래스가 없음을 확인했습니다. 따라서 경험적으로 DEP 쿼리 정보 클래스를 확인할 수 있는지 확인하기 위해 NtQueryInformationProcess이 구현된 이미지인 SP 2의 Ntoskrnl.exe의 분해를 조사해야 했습니다.

디스어셈블러는 실행 가능한 이미지를 가져와 코드를 구성하는 어셈블리 언어 명령을 나열합니다. 어셈블리 언어 명령어는 프로세서가 실행하는 명령어에 직접 매핑됩니다. 제가 사용하는 디스어셈블러는 Microsoft의 디버그 정보 파일을 이해하고 정보를 어셈블리 언어 출력에 통합하기 때문에 http://www.datarescue.com의 IDA Pro입니다. 디스어셈블리에서 나는 NtQueryInformationProcess의 시작 부분에서 프로세스 정보 클래스 매개변수를 취하고 각 클래스에 특정한 코드를 실행하는 복잡한 명령어 시퀀스를 발견했습니다. 정보 클래스가 새로운 것임을 알았기 때문에 Ntddk의 PROCESSINFOCLASS 열거에서 정의를 본 클래스의 실행을 건너뛸 수 있었습니다. 이 덕분에 Windows XP 출시 이후 도입된 대략 3~4개의 새로운 클래스로 조사 범위를 좁힐 수 있었습니다.

0x22의 ProcessInformationClass 값에 해당하는 클래스 중 하나는 코드 경로를 통해 MmGetExecuteOptions라는 함수로 이동했습니다. 시작 부분은 다음과 같습니다.

PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC

IDA Pro는 위 출력의 첫 번째 줄에서 함수가 DEP 설정을 받는 변수에 대한 포인터인 것으로 의심되는 하나의 인수를 허용한다는 것을 보여주었습니다. 저는 명령 시퀀스 mov eax, large fs:124h; mov eax,[eax+44h]을(를) 프로세서 제어 영역(PCR) 구조에서 현재 스레드 _KTHREAD 데이터 구조의 읽기로 인식하고 _KTHREAD 구조의 오프셋 0x44에서 KPROCESS 필드의 참조로 인식하는 데 충분한 시간을 보냈습니다. 다음 명령은 _KPROCESS 구조의 오프셋 0x6B에 있는 바이트의 개별 비트를 읽습니다.

_KPROCESS에서 오프셋 0x6B에 무엇이 있는지 직접 알지 못하여 로컬 커널 디버깅 모드에서 Windbg를 실행하고 다음을 보고한 dt _kprocess 명령을 실행했습니다.

+0x06b Flags : _KEXECUTE_OPTIONS

Looking at that structure with another dt command showed the bit definitions:

+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits

역시나, 이러한 비트는 DEP와 관련이 있으며 MmGetExecuteOptions이(가) 해당 구조에서 NtQueryInformationProcess에 대한 ProcessInformation 인수로 전달된 메모리 위치의 해당 비트로 비트를 복사하는 것으로 보입니다. 따라서 ProcessInformationClass 0x22, DWORD 주소(4바이트 정수), 길이 4로 NtQueryInformationProcess를 호출하여 프로세스의 DEP 상태를 쿼리할 수 있다고 판단했습니다. MmGetExecuteOptions은 현재 프로세스에 대한 플래그만 반환하고 ProcessHandle 매개 변수는 무시하는 것으로 보입니다(Process Explorer는 KeAttachProcess API를 통해 헬퍼 드라이버가 다른 프로세스로 전환되도록 함으로써 다른 프로세스의 DEP 상태를 쿼리합니다).

64비트 버전의 Process Explorer를 사용할 수 있게 했기 때문에 64비트 버전의 Windows에서 몇 가지 미묘한 차이점을 제외하고 완료되었습니다. 64비트 Windows에서 MmGetExecuteOptionsProcessHandle가 -1이어야 하며 현재 프로세스가 64비트 프로세스인 경우 DEP가 64비트 프로세스에 대해 항상 켜져 있기 때문에 STATUS_INVALID_PARAMETER 오류를 반환합니다. Windbg를 사용하여 Ntoskrnl.exe의 64비트 버전을 분해했지만 그 이후로 AMD64 이미지 분해를 지원하는 IDA Pro 버전을 얻었습니다.

내부 학습

샌프란시스코의 WINDOWS 연결

저는 Windows IT Pro Magazine에서 운영하고 4월 17일부터 20일까지 샌프란시스코에서 열리는 Windows 연결 컨퍼런스에서 두 개의 세션을 제공할 예정입니다. 하나는 "맬웨어 이해 및 퇴치: 바이러스, 스파이웨어 및 루트킷"이라는 일반 세션으로, 여기서는 맬웨어가 보안 조치를 전파 및 우회하기 위해 취약점을 악용하는 방법, "루트킷"이라는 정교한 기술을 사용하여 숨는 방법, 여러분의 시스템에서 이를 탐지하고 제거하는 방법을 설명합니다.

다른 세션은 "Windows 메모리 문제 해결"이며 이 세션에서는 제가 오래된 "작업 관리자에 표시되는 값의 의미는 무엇입니까?", "메모리를 사용하는 것은 무엇입니까?" 및 "페이징 파일을 얼마나 크게 만들어야 합니까?" 질문에 대답하는 방법을 보여줍니다.

컨퍼런스 브로슈어를 다운로드하고 등록하세요.
http://www.devconnections.com/shows/win/default.asp?s=60#

Mark Russinovich의 WINDONS INTERNALS/SYSINTERNALS 수업 체험

새 책 Windows Internals 4판의 저자인 Mark Russinovich 및 David Solomon과 함께 5일 동안 Windows NT/2000/XP/2003 운영 체제 커널의 내부를 탐구하면서 고급 문제 해결 기술을 배우세요. Windows 서버와 워크스테이션을 배포하고 지원하는 IT 전문가라면 상황이 잘못되었을 때 그 이면을 파고들 수 있어야 합니다. Windows 운영 체제의 내부를 이해하고 고급 문제 해결 도구를 사용하는 방법을 알고 있으면 이러한 문제를 처리하고 시스템 성능 문제를 보다 효과적으로 이해하는 데 도움이 됩니다. 내부를 이해하면 프로그래머가 Windows 플랫폼을 더 잘 활용하고 고급 디버깅 기술을 제공하는 데 도움이 될 수 있습니다. 그리고 이 과정은 Windows 커널 소스 코드 및 개발자에 대한 전체 액세스 권한으로 개발되었기 때문에 실제 이야기를 듣고 있다는 것을 알고 있습니다.

예정된 날짜는 다음과 같습니다.

  • 6월 6-10일, 플로리다 주 올랜도
  • 7월 11-15일, 독일 뮌헨
  • 9월 19-23일, 캘리포니아주 샌프란시스코
  • 12월 5~9일, 텍사스주 오스틴

참고: 이 수업은 실습 수업입니다. 각 참석자는 자신의 노트북을 가져와야 합니다(구성 지침은 미리 보내드립니다).

프로세스 내부, 스레드 스케줄링, 메모리 관리, I/O, 서비스, 보안, 레지스트리 및 부트 프로세스를 포함하여 Windows NT/2000/XP/2003의 커널 아키텍처에 대해 깊이 있게 이해하게 됩니다. . 또한 맬웨어 치료, 크래시 덤프(블루 스크린) 분석, 부팅 문제 해결과 같은 고급 문제 해결 기술도 다룹니다. 또한 www.sysinternals.com(예: Filemon, Regmon, Process Explorer)의 주요 도구를 사용하여 느린 컴퓨터, 바이러스 검색, DLL 충돌, 권한 문제 및 레지스트리 문제와 같은 다양한 시스템 및 애플리케이션 문제를 해결하는 방법에 대한 고급 팁을 알아봅니다. 이러한 도구는 Microsoft 제품 지원팀에서 매일 사용하며 다양한 데스크톱 및 서버 문제를 해결하는 데 효과적으로 사용되었으므로 해당 도구의 작동 및 애플리케이션에 익숙해지면 Windows의 다양한 문제를 처리하는 데 도움이 됩니다. 실제 문제를 해결하기 위해 이러한 도구를 성공적으로 적용한 실제 사례가 제공됩니다.

등록하려면 http://www.sysinternals.com/troubleshoot.shtml을(를) 방문하세요.


Sysinternals 뉴스레터를 읽어주셔서 감사합니다.

발행일: 2005년 1월 5일 수요일 오후 4:36 by ottoh

[회보 보관 ^] [< 볼륨 6, 번호 2] [볼륨 7, 특별 공지 >]