[회보 보관 ^] [< 볼륨 7, 특별 공지] [볼륨 8, 번호 1 >]
Systems Internals 뉴스레터 7권, 2호
http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich
2005년 8월 24일 - 이번 호에서:
- 소개
- 게스트 사설
- SYSINTERNALS의 새로운 소식
- SYSINTERNALS 포럼
- MARK의 블로그
- MARK의 기사
- MARK의 연설 일정
- 예정된 SYSINTERNALS/WINDOWS OS 내부 교육
Winternals Software는 Windows용 고급 시스템 도구의 선도적인 개발업체이자 제공업체입니다.
Winternals는 두 가지 신제품 출시를 발표하게 된 것을 기쁘게 생각합니다. Administrator's Pak 5.0은 AD 트랜잭션의 실시간 모니터링을 제공하는 자동 크래시 분석기, AD 탐색기 및 Inside for AD와 같은 새로운 도구를 사용하여 불안정하거나 부팅할 수 없거나 잠긴 시스템을 그 어느 때보다 쉽게 복구할 수 있습니다. 또한 새로운 기능인 Recovery Manager 2.0은 미션 크리티컬 서버, 데스크톱 및 노트북을 위한 사용자 지정 가능하고 강력하며 초고속 롤백을 제공하여 기업 전체에서 단일 시스템 또는 수천 대의 시스템을 동시에 원격으로 복원합니다.
전체 제품 세부 정보, 멀티미디어 데모, 웹 세미나를 보거나 두 제품의 평가판 CD를 요청하려면 http://www.winternals.com을(를) 방문하세요.
소개
여러분, 안녕하세요.
Sysinternals 뉴스레터에 오신 것을 환영합니다. 뉴스레터는 현재 55,000명의 구독자를 보유하고 있습니다.
Sysinternals 웹 사이트 방문이 계속 증가하고 있습니다! 7월에는 순 방문자 수가 900,000명이 넘었습니다. 이 달에 가장 많이 액세스한 도구는 275,000 다운로드를 기록한 Process Explorer였습니다! 도구를 자주 업데이트하므로 최신 버전을 사용하고 있는지 확인하세요. 변경 사항을 따라잡는 가장 좋은 방법은 http://www.sysinternals.com/sysinternals.xml에서 내 RSS 피드를 구독하는 것입니다(아직 웹 사이트를 따라잡기 위해 RSS를 사용하지 않는 경우 시작해야 합니다!).
이번 호에서는 Winternals Software의 제품 관리자인 Wes Miller가 비관리자로 실행한 경험을 공유합니다. 우리는 모두 그렇게 해야 한다고 말하지만, (저를 포함해서) 소수의 컴퓨터 전문가만이 자신의 주장을 실제로 실천합니다. 어쩌면 곧 시작할지도...
--Mark Russinovich
게스트 사설
Wes Miller의 비관리자로서의 삶
컴퓨터에서 이 글을 읽고 있는 여러분은 로컬 관리자일 가능성이 높습니다. 슬프게도 Windows XP(NT 및 2000도 포함)를 실행하는 대부분의 사용자는 로컬 관리자로 실행됩니다. 사용자가 관리자가 되지 않고도 엔터프라이즈의 모든 응용 프로그램과 시나리오가 작동하도록 하려면 상당한 작업이 필요하기 때문입니다. 그래서... 우리는 쉬운 방법을 택합니다. 나가서 세계 관리자를 만드세요. 이것은 좋지 않습니다.
그래서 최근에 일반 사용자로 실행하기로 결정했습니다(많은 사람들이 알고 있듯이 Power User는 권한 상승 공격을 허용하고 관리자 그룹의 멤버가 될 수 있는 권한을 가지고 있기 때문에 사용하기에 안전한 계정이 아닙니다).
첫 번째 생각은 놀라운 Windows XP 빠른 사용자 전환 기능을 사용하는 것이었습니다. 관리자가 아닌 계정과 관리자 계정에 로그인하고 세션 간에 전환할 수 있습니다. 그러나 불행하게도 그 기능은 도메인에 가입할 때 사용할 수 없습니다(비즈니스 사용자에게는 안타까운 일입니다).
두 번째 생각은 RunAs를 사용하는 것이었지만 RunAs(또는 대체 자격 증명을 사용하도록 정의된 바로 가기)는 항상 사용자 이름과 암호를 묻는 메시지를 표시합니다. 관리자 권한이 필요한 앱을 실행할 때마다 관리 자격 증명을 수동으로 입력하고 싶지 않았기 때문에 이 역시 허용되지 않았습니다.
그래서 몇 년 동안 Sysinternals 도구를 사용해 왔기 때문에 관리자가 아닌 경우 Mark Russinovich에게 PsExec이 작동하도록 요청했습니다. PsExec이 즉시 작동하지 않는 이유는 PsExec이 작업을 수행하는 작은 서비스를 설치하기 때문입니다. 서비스를 설치하려면 관리자 자격 증명이 필요하며 물론 관리자가 아닌 계정에서는 작동하지 않습니다.
이제 대체 자격 증명을 지정하고 로컬 시스템에서 프로세스를 실행하는 경우 PsExec이 대체 자격 증명을 사용하여 프로세스를 하위 프로세스로 생성하고 더 이상 하위 프로세스를 생성하기 위한 서비스를 생성하지 않도록 PsExec을 우아하게 개선했습니다.
이를 통해 프로세스를 시작하기 위해 PsExec을 사용하여 제가 좋아하는 관리 앱을 실행하는 바로 가기를 설정할 수 있었습니다.
아, 하지만 PsExec(및 RunAs)는 *.cpl 및 *.msc 파일을 실행할 수 없습니다. 적어도 명령줄에서 직접 실행하는 것은 아닙니다. 아마도 게으름 때문에, 아니면 매끄러운 작업을 원했기 때문일 것입니다. exe, 열 특정 파일 및 매개 변수를 사용하는 작은 WSH 스크립트를 만들고 이름을 run.vbs로 지정했습니다. 이제 제가 열려는 모든 항목(MMC 콘솔 또는 제어판 애플릿 포함)으로 run.vbs를 실행하기만 하면 거의 원활하게 실행됩니다. 다음은 WSH 스크립트에서 실행하는 명령줄입니다.
psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters
제가 극복하지 못한 가장 중요한 catch-22 중 하나는 특정 사용자로 설치해야 하는 소프트웨어를 설치하는 것입니다. 제가 본 최고의(최악?) 예는 새로 도입된 Google 데스크톱입니다. 설치하기 위해서는 관리자여야 합니다(물론). RunAs 또는 PsExec를 사용하려고 하면 실제로 설치를 차단하는 논리가 있습니다. "현재 활성 사용자와 다른 자격 증명으로 Google 데스크톱을 설치하는 것은 지원합니다." 테스트 매트릭스를 줄이는 데 도움이 된다는 사실 외에는 그 이유를 잘 모르겠습니다. 로그오프하지 않고 이 문제를 해결하기 위해 Administrator로 명령 프롬프트를 시작하고 Administrators 그룹에 나를 추가하고 PsExec을 사용하여 나 자신으로 명령 프롬프트를 실행한 다음(Explorer가 내 그룹 구성원에 대해 혼동했기 때문에) 다시 실행했습니다. 잘 작동했습니다. 하지만 작업이 끝나자 저는 다시 튕겨나갔습니다.
아니요, 쉽지는 않았지만 내 계정이 최소한의 시간 동안만 Administrators 그룹의 구성원이었으며 로그오프할 필요가 없었습니다.
시스템을 보호하는 기술로 DropMyRights에 연결하거나 언급하지 않았다는 점에 유의하세요. 저는 그렇게 생각하지 않습니다. 비관리자로 실행하면 시스템이 보호됩니다. 비관리자로서 위험한 앱을 선택적으로 실행하는 것은 그렇지 않습니다. 위험을 어느 정도 줄일 수 있지만 권장해야 할 관행이라고 생각하지 않습니다.
요약하자면 일상적인 사용을 위해 관리자 계정에서 사용자 계정으로 전환하는 것은 Windows 시스템 사용 시 노출되는 공격 표면을 줄이기 위해 수행할 수 있는 한 가지 작업입니다. 직접 경험해 보시고 기록해 보시길 권합니다.
SYSINTERNALS의 새로운 소식
지난 4월 뉴스레터 이후 많은 도구가 업데이트되었습니다. 가장 크게 향상된 두 가지는 Process Explorer와 Autoruns입니다. 다음은 도구별 변경 사항에 대한 자세한 목록입니다.
Process Explorer V9.25
- 통합 32비트 및 64비트(x64) 이진
- Windows Vista 지원
- 이제 64비트 사용자 및 커널 모드 스택 정보를 표시합니다.
- 64비트 시스템의 32비트(Wow64) 프로세스에 대해 32비트 로드된 DLL을 나열합니다.
- 메모리 내 이미지 문자열 스캔 및 압축 이미지 강조 표시
- 프로세스 창 조작(최소화, 최대화 등)
- 서명된 이미지에 대한 정보를 위한 새로운 열 옵션
- 트레이 아이콘에 실시간 CPU 그래프를 표시하는 옵션
- 프로세스 보기에 대한 CPU 그래프 및 I/O 델타 열
- 프로세스 보안 설명자 보기 및 편집(프로세스 속성의 보안 탭 참조)
PsTools v2.2
- PsShutdown에는 알림 대화 상자가 표시되는 기간을 지정하거나 대화 상자를 완전히 생략하기 위한 -v 스위치가 포함되어 있습니다.
- PsLoglist에는 csv 출력에 대한 시간 형식 수정이 있습니다.
- PsInfo는 이제 IE 핫픽스를 포함한 전체 핫픽스 정보를 표시합니다.
- PsExec은 이제 로컬 시스템에서 명령을 실행할 때 Runas처럼 작동하므로 비관리자 계정에서 실행하고 암호 항목을 스크립팅할 수 있습니다.
Filemon v7.01
- 계정에 Filemon을 실행하는 데 필요한 권한이 없거나 Filemon이 이미 실행 중인 경우에 대한 명확한 오류 메시지
- 32비트 및 64비트(x64) 버전을 단일 바이너리로 통합
자동 실행 v8.13
- 다른 자동 시작 유형이 기본 창의 다른 탭으로 분리되었습니다.
- 구성된 모든 자동 시작에서 빠른 보기를 제공하는 새로운 "Everything" 보기
- KnownDLL, 이미지 파일 하이재킹, 부팅 실행 이미지, 더 많은 Explorer 및 Internet Explorer 추가 기능 위치를 포함한 새로운 자동 시작 위치
- 이미지에 대한 세부 정보 표시
- 64비트 Windows XP 및 64비트 Windows Server 2003 지원
- Process Explorer와 통합하여 실행 중인 자동 시작 프로세스의 세부 정보 표시
DebugView v4.41
- 이제 x64 버전의 64비트 Windows에서 커널 모드 디버그 출력을 캡처하고 시계 시간과 경과 시간 모드 간 전환을 지원합니다.
v3.1 처리
- 단일 실행 파일은 32비트 Windows 및 x64 Windows XP 및 Windows Server 2003을 모두 지원합니다.
RootkitRevealer v1.55
- 보다 정교한 루트킷 탐지 메커니즘, 루트킷 커뮤니티에 의한 다음 에스컬레이션 단계를 위한 단계 설정
Ctrl2cap 64비트 업데이트
- Ctrl2cap은 이제 64비트 Windows XP 및 Windows Server 2003에서 작동합니다.
TCPView v2.4
- 이제 Sysinternals Whois 유틸리티의 도메인 이름 조회 기능을 TCPView에서 사용할 수 있습니다.
SYSINTERNALS 포럼
14개의 대화형 Sysinternals 포럼(http://www.sysinternals.com/Forum). 1,500명이 넘는 회원과 함께 현재까지 945개의 다양한 주제에 2,574개의 게시물이 있습니다.
MARK의 블로그
제 블로그는 지난 뉴스레터 이후로 시작되었습니다. 다음은 지난 뉴스레터 이후의 게시물입니다.
- 종료할 수 없는(unkillable) 프로세스
- 서비스 없이 Windows 실행
- 주기율표의 중단 사례
- 팝업 차단기? 어떤 팝업 차단기?
- 폭발적인 감사 기록
- Regmon 추적의 버퍼 오버플로
- 버퍼 오버플로
- 64비트 Windows에서 매일 실행
- 그룹 정책 설정 우회
- 수수께끼의 잠긴 파일 사건
- .NET 세계 후속 조치
- 다가올 .NET 세계 - 두려움
기사를 읽으려면 http://www.sysinternals.com/blog을(를) 방문하세요.
MARK의 기사
Windows 및 IT Pro Magazine에 실린 Mark의 가장 최근 기사 두 개는 다음과 같습니다.
- "루트킷 발굴"(2005년 6월)
- Power Tools 칼럼: Bginfo 최대한 활용하기
이들은 http://www.windowsitpro.com/에서 구독자에게 온라인으로 제공됩니다.
MARK의 연설 일정
올랜도와 암스테르담의 Microsoft TechEd에서 높은 평가를 받은 강연을 마친 후 저는 더 조용한 여름을 즐기고 있습니다. 제 TechEd Orlando 브레이크아웃 세션인 "맬웨어 이해 및 퇴치: 바이러스, 스파이웨어 및 루트킷"은 TechEd의 상위 10개 세션 중 하나였으며 1,000명 이상의 TechEd 참석자가 실시간으로 시청했으며 300명 이상의 웹 시청자에게 웹캐스트를 제공했습니다. 에서 요청 시 웹캐스트를 볼 수 있습니다. http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US
앞으로 몇 달 동안 제가 연설할 행사는 다음과 같습니다.
- Windows 연결(2005년 11월 2일, 캘리포니아주 샌프란시스코) - http://www.devconnections.com/shows/winfall2005/default.asp?s=61
- Microsoft 2005 Professional Developers Conference(사전 회의 자습서 2005년 9월 11일, 로스앤젤레스) - http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
- Microsoft IT 포럼(2005년 11월 14-18일, 스페인 바르셀로나) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx
최신 업데이트는 http://www.sysinternals.com/Information/SpeakingSchedule.html을(를) 참조하세요.
2005년 마지막 공개 내부/문제 해결 수업: 샌프란시스코 9월 19-23일
Windows 서버와 워크스테이션을 배포하고 지원하는 IT 전문가라면 상황이 잘못되었을 때 그 이면을 파고들 수 있어야 합니다. Windows 운영 체제의 내부를 이해하고 고급 문제 해결 도구를 사용하는 방법을 알고 있으면 이러한 문제를 처리하고 시스템 성능 문제를 보다 효과적으로 이해하는 데 도움이 됩니다. 내부를 이해하면 프로그래머가 Windows 플랫폼을 더 잘 활용하고 고급 디버깅 기술을 제공하는 데 도움이 될 수 있습니다.
이 수업에서는 프로세스 내부, 스레드 스케줄링, 메모리 관리, I/O, 서비스, 보안, 레지스트리 및 부트 프로세스를 포함하여 Windows NT/2000/XP/2003의 커널 아키텍처에 대해 깊이 있게 이해하게 됩니다. 또한 맬웨어 치료, 크래시 덤프(블루 스크린) 분석, 부팅 문제 해결과 같은 고급 문제 해결 기술도 다룹니다. 또한 www.sysinternals.com(예: Filemon, Regmon, Process Explorer)의 주요 도구를 사용하여 느린 컴퓨터, 바이러스 검색, DLL 충돌, 권한 문제 및 레지스트리 문제와 같은 다양한 시스템 및 애플리케이션 문제를 해결하는 방법에 대한 고급 팁을 알아봅니다. 이러한 도구는 Microsoft 제품 지원팀에서 매일 사용하며 다양한 데스크톱 및 서버 문제를 해결하는 데 효과적으로 사용되었으므로 해당 도구의 작동 및 애플리케이션에 익숙해지면 Windows의 다양한 문제를 처리하는 데 도움이 됩니다. 실제 문제를 해결하기 위해 이러한 도구를 성공적으로 적용한 실제 사례가 제공됩니다. 그리고 이 과정은 Windows 커널 소스 코드 및 개발자에 대한 전체 액세스 권한으로 개발되었기 때문에 실제 이야기를 듣고 있다는 것을 알고 있습니다.
이 흥미로운 소리 경우 다음 우리의 마지막 공개 실습에 와서 (자신의 노트북을 가지고) Windows 내부 및 샌프란시스코에서 고급 문제 해결 클래스, 9 월 19-23 (우리의 2006 일정은 아직 확정되지 않았지만, 가능성이 봄에 오스틴을 포함 할 것이다, 6 월 런던, 그리고 샌프란시스코 9 월에 다시 2006). 그리고 20명 이상이면 귀하의 위치에서 비공개 현장 수업을 운영하는 것이 더 매력적일 수 있습니다(자세한 내용은 이메일 세미나@...).
자세한 내용을 확인하고 등록하려면 http://www.sysinternals.com/Troubleshooting.html을(를) 방문하세요.
Sysinternals 뉴스레터를 읽어주셔서 감사합니다.
발행일: 2005년 8월 24일 수요일 오후 4:34 by ottoh