1. Linux 프로세스 확인 및 열린 포트 확인

<ps -ef> : 프로세스 확인

<netstat -an> : 열린포트 확인

2. Windows 프로세스 확인 및 열린 포트 확인

윈도우 프로세스를 확인하기 위해서는 sysinternals suite 검색 후 다운로드가 필요하다.

다운로드 후 앞축을 풀면 파일이 여러게 있는데 그중에 우리가 볼것은!!!!

<pslist> - 윈도우 프로세스 확인을 위한 툴이다. 이툴은 CMD창에서 경로를 찾아가서 실행 시켜줘야한다.

<process explorer> - pslist보다 프로세스를 자세히 보는 프로그램

  -분홍색=시스템프로세스, 보라색=내가 실행한 프로세스, 악성코드 감염시 빨간색 표시

<netstat -an> - 열린 포트를 확인해주는 명령어(따로 툴이 필요하지는 않다)

<TCPview> - 열린 포트를 실시간으로 확인  netstat와 유사하나 netstat는 정적 tcpview 동적

<https://www.virustotal.com/ko/> - 내가 가지고 있는 파일이 악성코드나 바이러스에 감염되어 있는지 확인해주는 사이트다.

3.바이러스 탐지 기법

1.파일 이름

(잘 사용안함-판별하기 힘듬)

2.해쉬

  ->해쉬값 비교을 비교해 변조 여부를 확인 하는 기법

  ->우회하기 쉬움

  ->www.virustotal.com - 해시값을 이용해 악성코드인지 판별해주는 사이트

3.시그니처

->기계어로 변환된 16진수 코드를 보고 진단하여 악성코드로 진단한다.

이미발견되고 정립 되어진 공격 패턴을 미리 입력해 두고, 입력된 패턴에 해당하는 트래픽을 발견하게 되었을 때 이를 감지하여 알려주는 기법이다.

이 기법은 모니터링 한 트래픽이 알려진 악성 행위의 특징과 일치하면 이를 공격으로 탐지하여 알려주는 것이므로, 많이 알려지고 공격자가 자주 사용하는 공격, 혹은 위협적이라고 알려진 공격 들을 전부 탐지 할 수 있다는 장점이 있다. 

하지만 알려지지 않거나 입력되어 있지 않은 새로운 패턴에 대해서는 탐지 할 수 없다는 단점이 있다.

이 기법은 해커의 공격 목표로 만들어진 트래픽 이라는 것을 가정해 이에 따른 2가지 특징을 전제로 한다.

첫번째는 공격자는 강력한 공격을 위해 가능한 많은 트래픽을 보낼려고 하기 때문에 공격 트래픽은 TCP 흐름제와와 같은 트래픽 제어 프로토콜을 준수하지 않으며 공격 목표는 모든 패킷에 응답할 수 없게 되고 공격자와 공격 목표사이에는 트래픽 흐름이 불균형해진다.

두번째는 공격 트래픽은 무작위 패턴으로 만들어진다.

4.OPCODE

  ->기계어 오른쪽의 어셈블리어 부분이용 특정부분에서 특정값(실제값) 컴파일전 소스상에서 고쳐야 한다.

  ->어셈블리어 명령어(opcode)를 보고 악성코드인지를 확인하는 기법

5.행동기반

  ->동작되는 것을 보고 확인(소스 필요)

  ->실제동작 및 실행하는 것을 보고 판별

4.백도어 탐색시 유용한 명령어

1.Backdoor란?

원래는 서비스 기술자나 유지보수 프로그래머들의 다른 PC에 대한 액세스 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 것이다. 최근에는 해킹에 취약한 부분을 일컫는 용어로 쓰이고 있다.

2.Backdoor 사용 이유

관리자는 편의성을 위해

해커는 침투 후 제침입을 위해 사용된다.

3.Backdoor 종류

로컬 백도어 : 서버의 셀을 얻어낸 뒤에 관리로 권한 상승을 할 때 사용하는 백도어로 트랩도어도 로컬 백도어라고 볼수있다.

시스템에 로그인한 뒤에 관리자로 권한 상승시키기 위한 것으로 공격자는 일반계정이 하나 필요하다.

원격 백도어 : 원격에서 관리자로 계정과 패스워드를 입력한 것처럼 바로 시스템 관리자 계정을 할 수 있는 백도어

네트워크에 자신의 포트를 항상 열어 놓는 경우가 많다. 일종의 서비스를 제공하는 데몬처럼 동작하는 것

원격 GUI 백도어 : 크기가 크고, 많은 데이터를 전송해야 되므로 노출되기 쉽기 때문에 실제로 많이 사용하지 않는 백도어다

패스워드 크래킹 백도어 : 인증회피가 아니라 인증에 필요한 패스워드를 원격지의 공격자에게 보내주는 역할을 하는 백도어

    사용자가 누르는 키보드의 정보를 원격지에 보내는 경우가 있고

    특정 문자열 즉'passwd'와 같은 문자열 뒤에 누를는 키보드의 정보를 보내는 경우

시스템 설정 변경 : 원격지의 쉘을 얻어낸다기 보다는 해커가 원하는대로 시스템의 설정을 변경하기 위한 백도어

 유닉스에서 프로그램 스케줄러로 사용되는 cron데몬을 이용하는 경우가 많다.

트로이 목마형 : 처음부터 백도어를 목적으로 만들어진 프로그램이 아닌데 백도어로 동작하는 경우

   윈도우에서는 웹 브라우저나 명령창 간단한 게임등도 백도어와 섞을 수 있다.

   이렇게 만들어진 백도어를 실행하면 원래 목적의 프로그램도 실행도과 동시에 백도어도 설치된다.

거짓 업그레이드 : MS사의 IE 웹브라우저를 무료로 업그레이드하라는 내용의 스팸 메일을 통해 사용자에게 프로그램 설치를                            유도하고 이 프로그램이 설치후 실행되면 몇몇 시스템 파일에 대한 수정과 다른 원격 시스템으로의                                  접속을 시도하는 행위를한다

그 외  : 네트워크 데몬이나 시스템 유틸리티를 수정한 백도어

     TCP/IP 프로토콜을 이용한 Shell binding 백도어

     kernel 모듈을 수정한 백도어

     방화벽을 우회하는 백도어

5.Backdoor 생성 및 숨기기

<소스코드>

<컴파일>

*컴파일 명령어는 만들어질 실행파일 명을 먼저 적고 컴파일할 파일 이름을 적는다.

(컴파일이 잘됬는지 확인하는 센스!)

<setUID 설정>

<유저아이디 접속후 백도어 실행>

*일반 계정으로 로그인 후 backdoor 파일을 실행 했을시 권한이 상승된 것을 볼수 있다.

<숨기기>

백도어 파일을 생성하고 잘 동작하는 것을 확인 했다면 이제는 관리자한테 들키지 않게 잘 숨겨둬야한다.

방법 중 하나는 기존의 SetUID가 걸려있는 파일을 바꿔치기하거나 변조하는 방법이다.

find / -perm -4000 명령어로 setuid가 걸려있는 파일을 찾는다.

이중에서 마음에 드는 파일과 바꿔치기하기!

*백도어를 이용하면 일반 사용자가 쉽게 관리자 권한을 가져올 수 있다.

 그러나 백도어를 생성하고 setuid를 설정하기 위해서는 관리자 권한이 필요하다는 치명적 단점도 존재한다.

그래서 보통 해킹을 끝내고 제접속을 위해 마지막에 백도어를 숨기고 나온다.

백도어는 간편하면서도 가장 무서운 양날의 칼 같은 존재인 것 같다.

보안관리자가 가장 중요시 점검해야되는 부분인 것 같다.

windows Backdoor 프로그램에는 netbus란게 있다.

클라이언트쪽에서 patch파일을 실행하면 포트가 열리면서 내가 접속할 수 있게되는 프로그램인데

상대방 PC의 행동 제어 및 화면 훔쳐보기가 가능하다.

툴시연은 올리지 않곘다.

1.SetUID란?

- 프로그램 소유주의 권한으로 프로그램을 실행하는 것을 말한다.

- 이는 리눅스에서 매우 중요한 부분이며 해킹 중 90%이상 차지하는 방법이다. 

  잘쓰면 가장 유용하지만 잘못관리하게 되면 가장 취약한 점이 될수있는 위험한 부분이다

2.SetUID 설정

<일반 권한>

(1) 파일형식 : 파일 형식을 나타내는 부분 => -:파일, d:디렉토리, l:링크파일

(2) 소유자 권한 

(3) 그룹 권한

(4) 나머지 사용자 권한

* r은 읽기 권한을 의미 == 4

 w는 쓰기 권한을 의미 == 2

 x는 실행 권한을 의미 == 1

ex> .bashrc의 권한을 해석해보면 소유자는 읽고 쓰기가 가능하고 그룹 사용자는 읽기만 가능 그외 사용자들은 읽기만 가능

      이권한을 숫자로 표현하게되면 r+w =6, r =4, r=4   ==> 644가 된다.

<SetUID 권한>

파일을 하나 생성 후 chmod 명령어로 실행권한을 4644로 변경하였다.

(setUID = 4000, SetGID = 2000, Sticky bit= 1000)

나머지 권한은 644랑 같은 것 같은데 바뀐부분이 2가지 있다.

첫번째는 쇼유자의 x자리가 s로 바뀌었다.

setUID가 설정되게되면 소유자 권한의 x부분이 s로 바뀌게 되고

SetGID가 설정되면 그룹 권한의 x부분이 s로 바뀌게 되고

Sticky bit가 설정되게 되면 나머지 사용자권한의 x부분이 t로 바뀌게 된다.

(실행권한이 안들어가 있으면 대문자로 표현되고 실행권한이 있으면 소문자로 표현된다) 

두번째는 파일이름이 붉은 블럭형태로 변경된 것을 볼 수있다.

권한을 보지 않고도 파일 이름의 형태로만으로 유추가 가능하다.

ex> 7777권한을 표시 --> -rwsrwsrwt

3.Passwd 실행 원리(Setuid 비트)

R : 계정관리

RUID : Real UID 실제 계정이 누구인가?

RGID : Real GID 실제 그룹이 누구인가?

E : 프로세스 권한확인

EUID : Effective UID 어떤 유저권한으로 프로세스를 실행하고있는가?

EGID : Effective GID 어떤 그룹권한으로 프로세스를 실행하고있는가?

* ruid는 계정 자체의 권한을 말하고, euid는 프로세스 실행시의 권한을 의미한다.

예를 들어 setuid를 이용하여 일시적으로 권한을 0(루트)으로 변경했다고 하자.

이경우 euid 가 0번 권한을 가지고, ruid는 여전히 500 권한이다. 프로세스가 실행시에만 루트 권한을 획득한다는 의미이다.  프로세스를 다시 종료 시키면, 500 권한으로 돌아온다.

여기서 setuid가 일시적으로 소유자의 권한을 부여한다는것을 알수가 있다.

1.unix 인증구조

1)Passwd 파일 구조

root : x : 0 : 0 : root : /root : /bin/bash

(1)   (2) (3) (4)  (5)    (6)      (7)

(1) Login name : 사용자 계정 의미

(2) Password : 사용자 암호가 들어갈 자리이나 /etc/shadow 파일에 저장

(3) User ID : 사용자 ID 즉, UID를 의미하고 root의 경우 0이 된다

(4) User Group ID : 사용자가 속한 그룹 ID 즉, GID를 의미하고 root 그룹의 경우 0이 된다

(5) Comment : 사용자으 ㅣ코멘트 정보를 적는 곳

(6) Home Directory : 사용자의 홈 디렉토리를 지정하는 곳

(7) Shell : 사용자가 기본으로 사용할 쉘 종류 지정

2)Shadow 파일 구조

root:$1$T/4NE$Gs/5lTpDNNAAPkN9iBdU11:16157:0:99999:7:  :   :

(1) (2)      (3) (4) (5) (6)(7)(8) (9)

(1) Login name : 사용자 계정

(2) Encrypted : 패스워드를 암호화시킨 값

  *'$' 구분자 역할을 하며 3부분으로 나뉜다.

   '1' : 암호화 방식을 나타내는 부분으로 1은 MD5를 의미한다.

   '$T/4NE' : Salt값으로 패스워드와 조합하여 해시값을 생성할 때 사용된다.

   'Gs/5lTpDNNAAPkN9iBdU11' : 해시값. 실제 비밀번호가 암호화된 부분이다.

(3) Last Changed : 1970년 1월 1일부터 패스워드가 수정된 날짜의 일수를 계산

(4) Minimum : 패스워드가 변경되기 전 최소사용기간(일수)

(5) Maximum : 패스워드 변경 전 최대 사용기간(일수)

(6) Warn : 패스워드 사용 만기일 전에 경고 메시지를 제공하는 일수

(7) Inactive : 로그인 접속 차단 일 수

(8) Expire : 로그인 사용을 금지하는 일수 (월/일/연도)

(9) Reserved : 사용하지 않음

*(3)~(9)은 거의 볼 일 없다 중요한 것은 (2)!!!

*해시값 만들기

 [root@localhost ~]# openssl passwd -1 -salt T/4NE(salt 값 입력)

 Password:                                        (원하는 패스워드 입력)

 $1$T/4NE$pT/ALNPWEcNks/yfrCKkC0                  (패스워드 + salt 값을 통해 생성된 해시값)

3)암호화 : 특정키를 이용해서 평문을 암호문으로 변경하는 것을 말한다. 치환기법

         암호문을 보고 평문을 찾아낼수있다.

4)해시 : 데이터를 자르고 치환하거나 위치를 바꾸는 등의 방법을 사용해 결과를 만들어낸 값을 해시값이라 한다.  

       확률이 낮으나 해시값이 언제든지 똑같이 나올수 있음.

       해시값은 복호화가 불가능하다.

5)존더리퍼(J.T.R)

Unix나 Linux의 패스워드를 검사하여 취약한 패스워드를 보여주는 툴이다.

Linux 패스워드 진단용으로 많이 사용되고 있다.

-------------------사용방법----------------------

john the ripper (존더리퍼) - password cracking tool

-------------------------------------------------

wget http://www.openwall.com/john/g/john-1.7.8.tar.gz(다운로드)

tar zxvf john-1.7.8.tar.gz(압출풀기)

cd john-1.7.8

cd src

-------------------------------------------------

make(시작)

make clean SYSTEM(현재 리눅스 서버 시스템이 무엇인지 검사)

make clean generic(조사가 끝나고 그것에 맞게 설정)

-------------------------------------------------

cd ../run

./john --test (벤츠마킹)

./john /etc/shadow (비밀번호 해독)

-------------------------------------------------

<실행 결과>

이렇게 간단하거나 사전적 단어로 설정된 비밀번호가 노출된다.

그러나 간단한 비밀번호라도 조금만 길어지니깐 찾질 못했다. 별로 효율성이 높은 툴은 아닌것 같다.

2.Windows 인증구조

<프로세스 설명>

winlogon(winlogon.exe): 윈도우 로그인 프로세스의 한부분이다.

GINA (msGINA.dll): Winlogon 내에서 msGINA.dll을 로딩시켜 사용자가 입력한 계정과 암호를 LSA에게 전달

lsa(lsass.exe): 전달받은 계정과 암호를 검증하기위해 NTLM모듈을 로딩하고 계정을 검증

                      SRM이 작성한 감사로그를 기록하는 역할수행.

SAM (sercurity accounts manager) : 사용자 계정 정보(암호화된 해시값)가 저장. ( 리눅스에 etc/shadow와 같은역할 ,                                                     중요하므로 복사본존재)

SRM (security reference monitor) : 사용자에게 고유의 SID를 부여한다. 

                                                  SID에 준하는 권한을 부여함

SID위치: HKEY_LOCAL_MACHINEWSOFTWARE \ Microsot \ Windows NT \ CurrentVersion \ ProileList

<동작원리>

1. 사용자가 ID/PW를 입력한다.

2.GINA에서 입력받은 ID/PW를 LSA에게 전달한다.

3.LSA가 내부에서 NTLM을 실행 시켜 검증을 시작한다.

4.NTLM이 SAM에 저장된 기존의 사용자 정보와 동일한지 비교

5.비교결과가 맞다면 SRM에서 사용자에게 교유 SID 부여

6.부여된 SID가 사용자에게 전달되면서 실행권한을 획득

<윈도우의 인증방식>

1.LM : 윈도에서 가장 약한(가장 최초) 인증 밥법이다. 윈도우 95,98,ME 버전에서 사용되었다.

2.NTLM 버전 1 : LM보다는 안전하지만 취약점이 발견되어 짧게 적용되었다.

3.NTLM 버전 2 : 현재 대부분의 시스템에 적용되고 있다.

1.패스워드 크래킹이란?

공격 대상이 이미 ID를 알고 있다는 가정 하에 비밀번호를 알아내는 해킹 기법이다.                                                    이 기법은 해킹 기법중 난이도는 낮은 편이나 가장 강력한 공격이다.

2.취약한 패스워드 분류

1. 길이가 너무 짧거나 아예 패스워드를 설정하지 않은 경우                                                                                   2. 사전에 나오는 단어나 이들의 조합                                                                                                                3. 키보드 자판의 나열                                                                                                                                      4. 사용자 계정 정보에서 유추가능한 단어

3.패스워드의 안전성 확인

<출처 : 정보보호뉴스>

우리가 평균적으로 사용하고 있는 영문소문자 +숫자로 구성된 8자리 패스워드는 13일이면 해킹당할 수 있다.                  13일이라는 시간을 들여 일반인의 패스워드를 크래킹하는 경우는 잘없겠지만 공공기관이나 주요 직책의 사람들의 것일 경우는 이야기가 달라진다. 점점 높아지는 컴퓨터 사양으로 인해 이시간은 점차 쭐어들 것으로 보인다.                         이러한 문제점을 해결하기 위한 가장 빠르고 정확한 해결방안은 사용자 본인이 경각심을 느끼고 패스워드 관리에 좀더 신경을 쓰는 것이라고 생각한다.

위 프로그램은 kisa에서  제공하는 패스워드 안전성검사 프로그램이다.                                                                   현재 자신의 패스워드의 안정성을 표시해준다.(스스로의 패스워드를 진단해보길 바란다)

*안전한 패스워드                                                                                                              1. 2가지 변수 + 10가지 이상의 길이                                                                                                                2. 3가지 변수 + 8가지 이상의 길이                                                                                                                 (변수 : 영문대문자, 영문소문자, 숫자, 특수문자(4가지))

4.패스워드 크래킹의 종류

고전기법과 현대기법이 있지만, 암묵적인 의미에서 현대기법(자동화된 툴이용)만 사용

이되고 있고, 아래와 같은 종류가 있다.

고전 기법

1. Shoulder Sniffing

누구나 한번쯤 타인의 비밀번호를 어깨너머로 훔쳐본 적 있을것이다. 

이 기법은 단어 뜻 그대로 어깨넘어로 훔쳐 본다는 의미를 가진 크래킹 기법 이다.

2. Dumpster Diving 

영화에 가끔 등장하는 장면 중 하나인 쓰레기통을 뒤져 서류나 메모를 찾아 정보를 얻는 장면을 볼수 있다.

그렇게 무심결에 버려진 정보들을 찾아서 정보를 훔치는 기법이다.

3. Social Engineering

사회 공학 기법이라고도 하며 요즘 크게 문제가 되고 있는 보이스 피싱, 스미싱과 같이

사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단을 뜻하는 기법이다.

현대 기법

1.Dictionary attack(사전 공격)  

사전 대입 공격으로 미리 사전파일을 만들어 놓고 그 내용을 하나하나 대입하는 기법이다. 

이 기법은 용량이 크면 클수록 좋다. 해외에서 공격이 잦다.

(사전파일 안에 내용이 중요)(ex-한글)

2.hybrid attack : 

앞선 사전 공격 보다 진화(혼합 공격)

 guessig 이 첨가된 부분이 크기 때문에 경험이 높은 사용자의 경우에는 효과가 높지만,

 경험이 미비한 사용자의 경우에는 역효과

 단점:추측을 잘못하면 더오래걸릴수있다

3.brute force attack : 

무차별 대입 공격으로 암호를 풀기 위해 가능한 모든 경우의 값을 대입하여 암호를 해독하는 기법

언젠가는 뚤리지만, 정확히 언제인지는 알 수 없다. 관제서비스에서 필터링 되어 질  확률이 높다.

장점:가장 정확하다.

단점:오래 걸림

5.사전 공격을 위한 사전 파일 정보 수집 -> "구글링"

site : 해당 도메인 내에서 검색

ex>kr, jp,cn....

inurl : url 내에서 포함된 문자열 검색

ex>www.i2sec.co.kr <-- 개인정보 및 취약점 노출확인가능

intitle : <title> </title> 내에 포함된 문자열 검색

filetype : exe, pdf, xls, hwp와 같은 파일 확장자를 검색

ex>filetype:ppt 제안서

  이력서와 같은 민감한 파일들이 노출된다.

사전파일 찾는 요령 : inurl:dictionary.txt 및 password.txt

            filetype:txt,doc

6.Dictionary attack(사전 공격)

사전 공격을 위해 Unsecure이란 툴을 사용

공격을 위한 사전파일이 툴과 같은 폴더에 들어 있어야 한다. 

툴 사용법

1.Computer name and IP - 패스워드 크래킹할 PC나 서버의 IP주소 입력

2.Port - 접속 방식의 포트 번호 입력(ex-21:ftp, 22:ssh, 23:telent)

3.Username : 패스워드 크래킹 할 ID 입력

4.Dictionary file : 준비된 사전 파일 이름을 입력

5.Attack options : 사용할 공격을 설정하는 부분 (Dictionary attack 선택)

6.Connect 클릭!

7.사전 파일을 비교하고 맞는 암호가 있으면 출력! (사전파일이 많을수록 시간이 오래걸린다)

*간단하고 쉬운 공격같아 보이지만 상대방의 IP와 ID만 알면 누구나 쉽게 공격할 수 있는 무서운 공격이다.

직접 실습해본 결과 사전파일의 양보다는 역시 질이 중요한 것 같다.

아무리 많은 경우의 수를 가지고 있더라도 모두 다 틀린답인 경우 결과는 모르는 상황과 같다.

많은 추리, 추측과 경험이 요구되는 기법인 것 같다.

하지만 이러한 것이 갖춰졌을때 무엇보다도 무서운 공격이 될꺼 같다.

또다시 비밀번호의 중요성을 느끼는 시간이 되었다.

출처 == I2sec

1.알면 편한 단축키

   윈도우 + R = 실행

   윈도우 + D = 바탕화면 바로가기

   alt+tap    = 작업표시줄

   alt+shift+tap = 작업표시줄 역방향

   ctrl + a  = 전체지정

   shift + 방향키 or home or end = 텍스트 범위 지정

   윈도우 + e : 내컴퓨터

실행 : msconfig, calc, mstsc, control, regedit

2. 윈도우 주요 프로세스

레지스터리 : 윈도우의 설정값들이 저장되는 데이터베이스

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- alg.exe : 인터넷 연결 공유 응용프로그램과 인터넷 연결 방화벽에

            대한 써드 파티 프로토콜 플러그인들을 지원함.

            #써드 파티 : 주개발사와 사용자 외의 개발사

- ctfmon.exe : 고급텍스트 서비스 , 필기, 음성인식과 같이 보다

               향상된 입력방법을 제공

- csrss.exe : 윈도우 콘솔 , 쓰레드 생성/삭제

- dllhost.exe : dll에 기초를 둔 어플리케이션을 관리 담당

- explorer.exe : 우리가 보는 화면 작업표시줄, 바탕화면을 지원.

- lsass.exe : 윈도우 보안 메커니즘 핸들링

- mstask.exe : 시스템 백업이나 업데이트 작업

- services.exe : 윈도우즈 서비스를 관리

- smss : 시스템 변수를 설정하고, winlogon 및 csrss.exe 프로세스를 구동함

- spoolsv : 프린터의 작업을 저장하고, 프린터가 저장되었을때 해당 작업들을 프린터로

               포워딩 하는 서비스 담당

- svchost : DLL에 의해 실행되는 프로세스의 기본 프로세스로 한 시스템에 여러개의                svchost가 존재하고, 여러개의 svchost 프로세스가 있음

- system : 대부분의 커널 모드 스레드의 시작점이 됨

- system idle process : cpu의 잔여 프로세스 처리량을 %로 나타낸 값

- taskmgr : 작업관리자

- wdfmgr.exe : 윈도우 미디어 플레이어 10 이상 설치했을때 생성됨

- winlogon.exe : winnt 기반 프로세스 사용자 로그온과 로그오프를 관리함

#winnt : 2000,xp 같은 운영체제를 Winnt라 한다.  (NT는 Network)

3.레지스트리 

-윈도우의 설정값들이 저장된느 데이터베이스

-HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Run

-HKEY_LOCAL+MACHINE\SOFTWARE\Microsoft\windows\Currentversion\Run

출처 == 12sec