[FTK] 윈도우의 보호모드 (Windows Protected Mode)
안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Windows 7에서의 보호모드에 대해 알아보겠습니다. 윈도우 7 이후의 버전에도 거의 비슷하게 적용되니 참고하시면 되겠습니다.
User Account Control
Windows 7에서의 Protected Mode는 시스템에 3가지 방식의 보호기능을 제공합니다.
Protected Mode 하에서는 악성프로그램이 ‘키로그’를 시작 메뉴에 설치 할 수 없습니다.
사용자가 관리자 권한으로 로그인 하여도, 일단은 Standard Account 권한으로 동작하고, 필요한 때에만 관리자 권한으로 작동하는 구조입니다.
3단계 보호모드
User Account Control (UAC)
Mandatory Integrity Control (MIC)
User Interface Privilege Isolation (UIPI)
Standard User Access
시스템의 경고 없이도 변경 가능한 윈도우의 기능은 다음과 같습니다.
- System clock and calendar changes (시스템 시각 변경)
- Time zone changes (타임존 변경)
- Connection to wireless networks (무선 네트워크 연결)
- Power management setting changes (전원 관리 설정 변경)
- Adding printers and other devices (프린터 등 기타 장치 추가)
- Installation of Active X controls from approved sites (승인된 사이트에서 Active X 설치)
- Installing Windows updates (윈도우 업데이트 설치)
Separation of Privileges
같은 프로그램이라도 어떤 환경에서 사용되느냐에 따라서 권한도 달리 적용되고, 관련 데이터도 서로 다른 위치에 저장됩니다.
예) Internet Explorer를 로컬 파일 시스템이나 네트워크에 접근하기 위하여 사용한다면, 대개 신뢰된 환경에서 사용되나, 인터넷에 접근하기 위하여 사용한다면, 신뢰되지 않는 환경에 관련 기록이 저장됩니다.
Microsoft는 이러한 상이한 환경을 감안하여 Application security settings를 기반으로 하여 서로 다른 저장소를 제공합니다.
다음은 다양한 Internet Explorer 시스템 폴더를 열거한 것입니다.
Internet Explorer System Folder | Path |
Cache Folder for Windows 7 Trusted Security Zone |
C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 |
Cookie Folder for Windows 7 Trusted Security Zone |
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies |
History Folder for Windows 7 Trusted Security Zone |
C:\Users\<username>\AppData\Local\Microsoft\Windows\History\History.IE5 |
Cache Folder for Windows 7 Protected Mode |
C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5 |
Cookie Folder for Windows 7 Protected Mode |
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies\Low |
History Folder for Windows 7 Protected Mode |
C:\Users\<username>\AppData\Local\Microsoft\Windows\History\Low\History.IE5 |
User Account Control
4가지 모드가 있습니다.
Top level
사용자 및 프로그램에 의한 시스템 설정 변경시 알림기능이 작동합니다.
2nd level (Default)
프로그램에 의한 시스템 설정 변경시 알림기능(바탕화면 흐리게 표시)이 작동합니다.
3rd level
프로그램에 의한 시스템 설정 변경시 알림기능(바탕화면 흐리게 표시 않함)이 작동합니다.
4th level (UAC를 사용하지 않음)
알림기능이 작동하지 않습니다.
UAC 관련 현재 시스템의 설정 사항은 다음 레지스트리에 저장됩니다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)