HolyHacker

1. 윈도우 패스워드의 특성
- 기본적으로 윈도우의 패스워드 구조 자체가 취약하다.
- 윈도우 패스워드는 특이하게 패스워드의 길이에 관계없이 8바이트가 하나의 블록을 형성한다.
- 이 중 1바이트는 패스워드 블록에 대한 정보를 담고 있으므로, 실질적으로 패스워드 문자열을 저장하는 것은 7바이트다.
- 따라서 비밀번호가 qwer1234 일 경우 모두 8개의 문자이므로 두 개의 블록을 형성하게 된다.
- 지금까지 발매된 윈도우는 기본적으로 위와 같은 형태이며, 하나의 패스워드 블록은 별도로 운영된다.
- 따라서 하나의 패스워드 블록의 길이인 7 글자를 크래킹하는데 걸리는 노력이면, 아무리 긴 패스워드라도 풀 수 있는 것이다.
- qwer1234 일 경우 qwer123 과 4 로 저장이 되며, qwer123은 쉽게 크랙킹 하기 어렵겠으나, 뒤에 4 는 몇 초도 안되는 사이에 - 크래킹 할 수 있다. 그러므로 사실 상 7개의 글자나 8개의 글자나 패스워드의 강도는 같다고 봐도 무방하다.
- 즉 윈도우에서는 14개 문자 길이의 패스워드를 크래킹 하는 것은 7개의 패스워드를 2개 크래킹 하는 것이다.

하지만 다행히도 이러한 패스워드 강도는 공격자가 SAM 파일을 획득한 경우에만 해당되는 경우며,
원격에서 공격을 시도할 경우에는 윈도우에서도 리눅스처럼 글자수에 따라 강도가 커지게 된다.
SAM 파일을 획득해야만 7글자의 패스워드 블록 단위로 패스워드 크래킹이 가능하기 때문이다.


- 윈도우 패스워드 크래킹을 위한 툴
1. NAT ( NetBIOS Auditing Tool )
- nat -u userlist.txt -p dic.txt "ip주소"

2. pwdump3
 pwdump3 "\\아이피주소" sam_file administrator

3. LC4
- GUI 툴이며, import -> import From PWDUMP File 메뉴에서 사용한다.

중지하면 안되는 주요 서비스들

1. Network Connections
- 시스템에 관련된 모든 네트워크 및 전화 접속 연결에 대한 서비스를 제공하며, 상태를 표시한다.
이 서비스를 중지 시킬 경우 네크워크에 대한 모든 접속이 불가능해진다.

2. Plug and Play
- 하드웨어에 대한 자동 인식과 설정을 도와주는 서비스이며, 중지시킬 경우 시스템이 불안정해진다.

3. Security Accounts Manager  (SAM)
- 인증에 관련된 서비스로 중지시킬 경우 다른 시스템이 해당 시스템에 접근할 수 없게 된다.

4. Windows Management Instrumentation ( WMI )
- 시스템의 관리 정보를 제공하는 서비스다. 응용 프로그램과 서비스가 생성하는 관리 이벤트를 포함하여
응용 프로그램 서비스에 접근 정보를 제공한다. 또한 SNMP 와도 호환된다.

5. Application Management
- 응용 프로그램의 설치, 제거와 같은 서비스를 제공하며, 중지시킬 경우 응용 프로그램을 추가/삭제하지 못한다.

6. Remote Procedure Call ( RPC )
- RPC 에 관련된 서비스를 제공한다. 서비스를 끄면 해당 컴퓨터가 부팅되지 않는다!!

7. Server
- RPC 지원 및 파일, 인쇄 등을 위한 자원 공유를 제공한다.




다음은 선택 사항의 서비스들에 대해 알아보자.

1. COM+ ( an extension to the Component Object Model) Event System
- COM 은 프로그램의 컴포넌트 객체들을 개발하고 지원하기 위한 하부 기반 구조로, COBRA ( Common Object Request Broker Architecture ) 에서 정의된 수준의 기능 제공을 목표로 한다. 마이크로소프트의 OLE 가 사용자가 화면에서 볼 수 있는 복합 문서를 위한 서비스를 제공하는 반면에, COM 은 인터페이스 교섭과 언제쯤 객체가 시스템에서 제거될 수 있는지를 판단하며, 라이센스 및 이벤트 서비스 등을 제공한다. COM+ 는 이러한 COM 구성요소에 이벤트를 자동으로 배포한다. COM + 이벤트는 COM + 프로그래밍 모델을 확장하여 게시자/가입자와 이벤트 시스템 사이의 이벤트나 메소드 호출을 지원한다.

2. Computer Browser
- 네트워크에 있는 컴퓨터의 최신 목록을 유지하고, 요청하는 프로그램에게 목록을 제공한다.
이 서비스는 네트워크 도메인과 리소스를 보아야 할 윈도우 컴퓨터에게 사용한다. 브라우저로 지정된 컴퓨터는 해당 네트워크에서 사용되는 모든 공유 리소스를 포함하는 찾아보기 목록을 유지한다.

3. Distributed Link Tracking (DLT) Client
- 네트워크 도메인의 여러 컴퓨터에 걸쳐 있거나, 하나의 컴퓨터에 있는 NTFS 파일 시스템 사이의 링크를 유지 및 관리한다.
DLT 클라이언트 서비스를 사용하면 대상 파일의 이름이 바뀌거나 이동 된 후에도 바로 가기와 OLE 링크가 계속 작동한다.

4. File Replication
- 자동 파일 복제 서비스다. 여러 서버에 존재하는 파일을 복사 및 관리하고 동기화 시켜준다.
또한 내결함성이 있는 DFS ( Distributed File System )과 관련된 대체 대상 사이에서 파일을 동기화하도록 이 서비스를 구성할 수 있으며, 도메인 컨트롤러의 경우 이 서비스를 중지시킬 경우 심각한 손상이 발생할 수 있다.

5. Internet Authentication Service ( IAS )
- VPN , RAS 장비 또는 무선 및 LAN, WAN 네트워크에 접속하는 사용자의 인증, 권한 부여, 감사 및 계정 작업을 수행한다.

6. Intersite Messaging (ISM)
- 윈도우 서버간에 메시지를 주고 받을 수 있다.

• PC의 컴퓨터 CPU 유형
• 버스유형
• 비디오 보드 유형
• 키보드와 마우스 종류
• 컴퓨터에 장착되어 있는 직렬 포트와 병렬포트
• 플로피 드라이브

NTDETECT 가 문제없이 작동하면 레지스트리에 하드웨어 키를 만드는데, 이 키는 HKEY_LOCAL_MECHINE 에 있다.
컴퓨터를 부팅할 때마다 레지스트리의 해당 부분이 만들어지기 때문에 항상 현재의 하드웨어 구성을 반영하게 된다.


6. ntoskrnl.exe (NT OS Kernel)
- ntoskrnl 은 Hardware Abstraction Layer (HAL.DLL) 을 로드한다.
- 다음은 4단계의 로드 단계다.

(1) 커널 로드 단계
- 운도우 2000은 시스템 설정을 로드하고, 이것을 HKEY_LOCAL_MACHINE\System\CurrentControlset\Services 에 저장한다.
윈도우 2000은 이 정보를 확인하고 로드할 드라이브와 그 순서를 결정한다.

(2) 커널 초기화 단계
- 드라이버에 대한 현재의 제어 세트를 검사하고 작업을 시작한다.

(3) 서비스 로드 단계
- Session ManagerSubSystem(smss.exe)와 Win32 서브 시스템을 로드한다.

(4) 서브시스템 시작 단계
- 윈도우 서브시스템이 초기화된다. Win32 서브 시스템은 로그인에 대한 처리를 하고 winlogon.exe 를 시작한다.
- 컨트롤 + 알트 + DEL 키를 누르면 로그인 창이 활성화되고, 계정과 패스워드를 입력받아 로컬 보안 인증서버
(lsass.exe) 에 보낸다. 로컬 보안 인증 서버는 보안 계정 관리자( SAM) 에 저장되어 있는 정보와 비교하여
일치하면 userinit.exe 프로세스가 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogn 의 셀 값에서 참조되는 셸을 실행한다.

이상 윈도우의 부팅 과정에 대해 알아보았다.