[FTK] 윈도우의 보호모드 (Windows Protected Mode)

FTK

도깬리 2022. 8. 31. 06:39

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Windows 7에서의 보호모드에 대해 알아보겠습니다. 윈도우 7 이후의 버전에도 거의 비슷하게 적용되니 참고하시면 되겠습니다.

User Account Control

Windows 7에서의 Protected Mode는 시스템에 3가지 방식의 보호기능을 제공합니다.

Protected Mode 하에서는 악성프로그램이 ‘키로그’를 시작 메뉴에 설치 할 수 없습니다.

사용자가 관리자 권한으로 로그인 하여도, 일단은 Standard Account 권한으로 동작하고, 필요한 때에만 관리자 권한으로 작동하는 구조입니다.

3단계 보호모드

User Account Control (UAC)

Mandatory Integrity Control (MIC)

User Interface Privilege Isolation (UIPI)

Standard User Access

시스템의 경고 없이도 변경 가능한 윈도우의 기능은 다음과 같습니다.

- System clock and calendar changes (시스템 시각 변경)

- Time zone changes (타임존 변경)

- Connection to wireless networks (무선 네트워크 연결)

- Power management setting changes (전원 관리 설정 변경)

- Adding printers and other devices (프린터 등 기타 장치 추가)

- Installation of Active X controls from approved sites (승인된 사이트에서 Active X 설치)

- Installing Windows updates (윈도우 업데이트 설치)

Separation of Privileges

같은 프로그램이라도 어떤 환경에서 사용되느냐에 따라서 권한도 달리 적용되고, 관련 데이터도 서로 다른 위치에 저장됩니다.

예) Internet Explorer를 로컬 파일 시스템이나 네트워크에 접근하기 위하여 사용한다면, 대개 신뢰된 환경에서 사용되나, 인터넷에 접근하기 위하여 사용한다면, 신뢰되지 않는 환경에 관련 기록이 저장됩니다.

Microsoft는 이러한 상이한 환경을 감안하여 Application security settings를 기반으로 하여 서로 다른 저장소를 제공합니다.

다음은 다양한 Internet Explorer 시스템 폴더를 열거한 것입니다.

Internet Explorer System Folder	Path
Cache Folder for Windows 7 Trusted Security Zone	C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
Cookie Folder for Windows 7 Trusted Security Zone	C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies
History Folder for Windows 7 Trusted Security Zone	C:\Users\<username>\AppData\Local\Microsoft\Windows\History\History.IE5
Cache Folder for Windows 7 Protected Mode	C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5
Cookie Folder for Windows 7 Protected Mode	C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies\Low
History Folder for Windows 7 Protected Mode	C:\Users\<username>\AppData\Local\Microsoft\Windows\History\Low\History.IE5