보안 메커니즘

구조체	역할
EPROCESS (Executive Process)	개별 프로세스를 나타내는 거대한 구조체  - KPROCESS를 포함
KPROCESS (Kernel Process Block, PCB)	커널에서 스레드 스케줄링과 프로세스에 포함되는 스레드들의 기본설정 값, 시스템에서 동작하는 스레드 관리에 필요한 정보 등을 확인
ETHREAD (Executive Thread)	개별 스레드에 대한 정보를 가짐 -KTHREAD 포함 -스레드 시간 정보 -프로세스/스레드 ID -스레드 시작 주소
KTHREAD (Kernel Thread Block, TCB)	디스패칭 정보, 실행시간, 커널 스택 정보 등을 가짐
PEB(Process Environment Block), TEB(Thread Environment Block)	유저 모드에서 정보를 수정하고 효과적으로 처리하기 위해 유저 모드 영역에서 위치한 프로세스 공간에 만드는 구조체

슈퍼특권(Super Privilege)

일부 특권을 너무 강력해서 이 특권을 부여받으면 컴퓨터에 대한 모든 제어권을 가진 슈퍼 유저가 된다.

구분	특권	설명
프로그램디버깅	SeDebugPrivilege	프로세스에 존재하는 보안 디스크립터와 상관없이 시스템 상의 어떠한 프로세스도 열 수 있다.  (ex. CreateRemoteThread)
소유권 가져오기	SeTakeOwnership	임의의 접근 권한의 허용 없이 객체의 소유권을 얻을 수 있다. (모든 권한 승인 가능)
파일과 디렉터리의 복원	SeRestorePrivilege	NTFS가 보안 디스크립터의 상태와 관계없이 어떤 파일이나 디렉터리에 접근 승인 (시스템 파일 교체 가능)
디바이스 드라이버의 로딩과 언로딩	SeLoadDriverPrivilege	악의적인 디바이스 드라이버 로드 가능
토큰 객체의 생성	SeCreateTokenPrivilege	임의의 그룹 멤버십과 특권 할다을 갖는 임의의 사용자 계정을 나타내는 토큰을 생성
운영체제의 일부로 동작	SeTcbPrivilege	악의적인 사용자는 Lsass와 신뢰할 수 있는 새로운 연결을 생성할 수 있다.

 

PsExec.exe 파일을 이용해 옵션을 주고 regedit 파일을 실행

그림 1-1 PsExec.exe

Regedit 레지스트 파일이 실행된 것을 알 수있다.

그림 1-2 regedit

HKLM\SAM\SAM\Domains\Account 위치에 계정들을 확인할 수 있다.

그림 1-3 HKLM

V 파일 속성을 보면 마지막 12바이트 SID가 들어가 있다.

4D 64 49 2E / 19 52 5F 12 / 75 B9 75 54

2E49644D / 125F5219 / 5475B975 (리틀 엔디언) 

776561741 / 308236825 / 1417001333(십진수)

 

그림 1-4 SID

PsGetsid.exe 프로그램을 실행해 SID를 확인하면 계산한 것과 동일한 것을 알 수 있다.

그림 1-5 PsGetsid.exe