fckorea's life, library, research. :: 'Hacking & Security/Windows' 카테고리의 글 목록

[ Security_Windows ] Windows Logon Type

Posted 2011.08.01 16:32
이벤트 로그온에 대한 분석 시 로그온 유형을 매번 헷갈려서(10번이 원격인것만 빼고ㅎㅎㅎ) 로그온 유형에 대한 내용을 정리하여 보았다.

<로그온 유형>
0 : 시스템 계정만이 사용함.
2 - Interactive(대화식) : 콘솔에서 키보드로 로그온, 로컬 로그온, 터미널, 원격쉘과 같은 로그온 형식.
3 - Network(네트워크) : 기본인증, 네트워크를 통한 원격 로그온. (파일공유, IIS 접속 등)
4 - Batch(자동실행, 스케쥴) : 예약 작업, 스케줄에 등록된 작업을 실행 시 미리 설정된 계정 정보로 로그온.
5 - Service(서비스) : 서비스가 실행될때 미리 설정된 계정 정보로 로그온.
6 - Proxy(프록시) : 프록시 타입으로 로그온.
7 - Unlock(잠금해제) : 화면보호기 잠김 해제 시.
8 - NetworkClearText(네트워크[평문암호]) : Type 3번과 비슷하나 계정 정보를 평문으로 전송 시 발생.
9 - NewCredentials(새 자격) : 실행(RunAs)에서 프로그램 실행 시 "/netonly" 옵션을 줄때 발생.
10 - RemoteInteractive(원격 대화식) : 터미널 서비스, 원격 접속, 원격지원으로 로그온.
11 - CachedInteractive(캐쉬된 대화식) : PC에 캐쉬로 저장된 암호로 자동 입력 로그온.
12 - CachedRemoteInteractive(캐쉬된 원격 대화식) : RemoteInteractive와 같음.
13 - CachedUnlock : 워크스테이션 로그온.

신고
AccessLog나 ErrorLog등의 로그 파일들은 대형 사이트의 경우 하루치 로그 용량이 거대하다.
대략 1 ~ 3-4 기가 바이트 정도로 에디터로 열기도 힘들고... (상용 에디터로 열수도 있음 ^^) 
열었다고 해도 찾는 데도 힘들다.
하지만 윈도우 상에서 간단하게 찾을 수 있는 명령을 소개한다.
아래 명령은 파일을 못여는 일은 없을테고, 시간은 만족할만한 수준이다.

더보기

 
신고
_ETHREAD 구조체

dt nt!_ETHREAD


신고
_EPROCESS 구조체

dt nt!_EPROCESS


신고
Windows System Call Table.




신고
Listing of the NT Native API functions.




신고

티스토리 툴바