디지털 포렌식 전문가 2급 필기 (Windows 기반시스템) 1

윈도우 운영체제의 레지스트리 키에 대한 설명

- HKEY_CLASS_ROOT : 파일에 대한 확장자에 대한 정보와 프로그램간의 연결정보

 

윈도우 운영체제의 레지스트리를 설명한 것중 잘못된 것은?

- 레지스트리 regedit.exe 전용 편집기에서 볼 수 있다
- 레지스트리 백업 및 복구는 regedit.exe을 실행해야 한다
- 윈도우 레지스트리 키는 HKEY_CLASS_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG 등이 있다

시스템 구성정보를 저장하는 데이터베이스로 SYSTEMS.DAT, USERS.DAT 파일이 있다 ( X )

 

Windows Server 2008에서 DNS Zone 파일 기본 위치는?

%SystemRoot%\System32\DNS

 

Windows XP 환경에서 시스템 백업은 System Volume Information에 Restore Point로 저장된다. 다음 중 백업 대상이 아닌 것은?

Registry
Local user profile
COM+ & WMI Databases

User documents ( X )

 

Windows에서 사용자 로그온 인증과 관련된 사항

SAM에 의한 로컬 사용자 로그온 인증

 

Windows Registry에는 사용자 계정 관련 정보들이 저장되어 있다. 그 중에서 Default 로그온 계정 정보가 포함되어 있는 Root key는?

HKEY_LOCAL_MACHINE

 

Windows는 설치할 때 기본 사용자와 그룹이 생성된다. 다음 중 Windows Server 2008에서 내장(Built-in) 계정으로 생성되지 않는 것은?

LocalSystem
LocalService
NetworkService

NetworkSystem ( X )

 

다음 Windows 기본 명령어 중에서 시스템에 등록된 모든 사용자 계정 정보를 얻을 수 있는 명령어는?

net user

 

x86과 x64 프로세서 아키텍처는 4개의 권한 수준(Privilege levels)을 정의하고 있으며, 이 중에서 Windows는 2개의 레벨(kernel mode, user mode)만을 사용하고 있다. 그렇다면 user mode는 어떠한 레벨에 해당되는가?

3레벨

 

다음 중 Active Directory에 대한 설명으로 옳지 않은 것은?

-네트워크상에 존재하는 모든 Resources를 식별하고 사용자와 응용프로그램에 Resources에 대한 정보를 제공하는 네트워크 서비스이다.
- Active Directory 관리자는 중앙 관리 인터페이스를 통하여 네트워크 서비스, 분산된 Desktop, 응용프로그램들을 관리할 수 있다
- Active Directory는 네트워크에 연결된 Resources에 대하여 Single Sign-on을 제공한다

Windows 2003 Server의 Active Directory에는 객체들을 체계화하고 그룹화하기 위해서 Organization Unit을 사용한다 즉, 다양한 Domain에서 동일한 목적을 갖는 객체들을 묶어 그룹화 하는 기능으로 이용된다 ( X )

 

Windows Server 2008에서 사용하는 파일 및 폴더의 사용 권한에 대한 설명으로 옳지 않은 것은>

- 기본적으로 접근 불가가 승인/거부되지 않았다면 접근이 거부된다
- 사용자의 권한은 속한 그룹의 권한에 우선한다
- 부모 폴더 사용 권한 설정 시 사용 권한의 상속을 폴더 내의 모든 파일과 하위 폴더에 강제할 수 있다

- 폴더에 파일을 생성할 때 해당 파일은 특정 사용 권한 설정을 상속 받는다 ( X )

 

Name Resolution Service인 LLMNR에 대한 설명으로 가장 잘 설명한 것은?

IPv4, IPv6 또는 두 주소 모두를 가진 장비를 위한 Peer-to-peer Name Resolution Service를 제공한다

 

Windows에서 바탕화면, 연락처, 즐겨찾기 등을 백업하고 문제가 생겼을 때 복구하고자 한다. 다음 중 이러한 상황에 대비하기 위해서 가장 효율적인 Windows 8 기능은 무엇인가?

File History 기능

 

다음 중 Windows 8의 새로운 기능으로 올바르지 않은 것은?

Metro UI
사진 인증 및 PIN 인증
Local 계정과 Windows Live 계정 통합 가능

Sandbox 보안 기능 도입 ( X )

 

다음 Windows 기본 명령어 중에서 Remote 접속 사용자 정보를 얻을 수 있는 명령어는?

net session

 

Windows에서 파일이 삭제된 직 후 일정 시간(기본 15초)안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다. 이러한 특징을 갖는 기능은 무엇인가?

파일 시스템 터널링 (File system tunneling) 

 

Windows 7의 점프리스트에 대한 설명으로 올바른 것은?

사용자가 최근에 접근한 문서나 파일의 목록 유지

 

Windows vista나 Windows Server 2008에서 기본적으로 제공하는 Name Resolution System으로 올바르지 못한 것?

DNS
WINS
LLMNR

DDNS ( X )

 

Windows 파일 중에서 "abc.txt:hack.exe"라는 파일이 존재한다면 이를 잘 설명할 수 있는 개념은?

Alternate Data Stream

 

다음은 시스템 이벤트 감사와 로그인 이벤트 감사의 주요 이벤트 로그 ID와 그에 대한 설명이다. 잘못 연결된 것은 어떤 것인가? 

529 - 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도
514 - LSA 인증 패키지 로드
516 - 저장 고간의 부족으로 인해 보안 이벤트 메시지 손실

528 - 로그인 실패 ( X )

 

윈도우 기반 PC에서 연결된 적이 있는 USB 정보를 확인하기 위해서는 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Enum 이하에 존재하는 폴더 중 어떤 폴더를 검사해야 하는가?

USBSTOR

 

윈도우에서 폴더나 파일에 대한 접근 권한을 설정할 때 규칙으로 잘못된 것은 무엇인가?

허용보다 거부가 우선이다
NTFS 접근 권한은 누적된다
그룹 A와 그룹 B에 속한 사용자는 양쪽 권한을 모두 갖는다

파일보다 폴더의 접근 권한이 우선이다 ( X )

 

보안 취약점 점검 도구의 설명이 잘못된 것은 무엇인가?

- MBSA는 일반적으로 틀리기 쉬운 보안 관련 설정을 간단히 확인하는 위한 도구이다
- NBTScan은 NetBIOS name 정보를 얻기 위해 네트워크를 점검하는 프로그램이다
- NBTScan은 UDP 프로토콜을 사용하기 때문에 다른 TCP 프로토콜을 사용하는 취약점 점검 도구를 보다 프로그램 처리 속도가 빠르다

MBSA Version 1.2는 windows 시스템을 로컬에서만 검사할 수 있는 그래픽 및 명령줄 인터페이스를 갖추고 있다 ( X )

 

윈도우운영체제에서 Null session에 대한 설명 중 옳지 않은 것은?

- 널 세션을 이용한 해킹을 방지하기 위한 방법으로 널 세션 포트인 TCP/UDP 135~139번 포트를 차단한다
- 널 세션으로 수집할 수 있는 정보는 패스워드 정보, 그룹 정보, 서비스 정보, 운영 중인 프로세서 정보 등 중요정보들이며 일부 레지스트리에도 접근할 수 있다
- Null Session이란 Windows가 설치된 네트워크의 다른 원격 컴퓨터에 User ID와 패스워드를 NULL로 해서 접속할 수 있게 해주는 것을 의미한다

- Null session을 이용한 공격은 NetBIOS를 사용하는 시스템에서는 IPC$, C$, Admin$은 항상 공유되어 있어 ID와 패스워드를 입력하지 않고도 공유 대상이 Admin$에 연결하는 것이다 ( X )

 

윈도우에서 시스템 설정정보를 저장하는 레지스트리 정보 중 로컬 사용자계정정보와 관리자 비밀번호등을 저장하는 레지스트리의 중요 파일은?

SAM

 

다음 중에서 SSL 및 TLS 인터넷 표준 인증 프로토콜을 구현하는 SSP는 어느것인가?

Schannel

 

윈도우에서 공유폴더 관리에 관하여 잘못된 설명은 어느것인가?

윈도우는 관리목적상 ADMIN$, C$, D$, IPC$ 등을 기본적으로 공유한다
IPC$는 커퓨터간 netbios통신을 위해 사용된다
IPC$는 Null Session Share의 취약점을 갖고 있다

IPC$는 윈도우 클라이언트/서버간 해킹에 절대 안전한 것으로 조사되었다. ( X )

 

윈도우 운영체제가 부팅될 때 주요한 4가지의 레지스트리가 활성화된다. 다음중에서 윈도우 운영체제의 주요한 4가지의 레지스트리에 해당되지 않는 것은 어느것인가?

SOFTWARE
SYSTEM
SECURITY

HYPER ( X )

 

외부 문서 참조기능을 위한 윈도우 OS의 표준으로서 다른 응용프로그램에서 작성한 그림 등을 작성 중인 문서로 삽입해 가져올 수 있는 운영체제의 기능은 무엇인가?

OLE(object linking and embedding)

 

윈도우의 레지스트리 키 중에서 윈도우가 설치된 컴퓨터 환경 설정에 대한 정보가 있는 레지스트리 키는 어느것인가?

HKEY_CURRENT_USER

 

윈도우시스템에서 일어나는 이벤트 들의 로그를 저장하는 파일은 다음중에서 어느것인가?

윈도우이벤트로그

 

윈도우 운영체제에서 사용자의 계정정보와 관리자 비밀번호 등을 가지고 있는 파일의 저장위치가 옳은 것은?

C:\Windows\System32\config\SAM

 

다음의 윈도우 이벤트 로그에 대한 설명 중 옳지 않은 것은?

System Log : 시스템 구성 요소들의 이벤트를 로그로 남김
Security Log : 사용자들의 로그인 성공과 실패, 보안정책 변경 등을 기록
Application Log : 응용 프로그램이 만드는 다양한 이벤트들을 기록하는데, 일정한 형식이나 규칙이 없음

이벤트 로그는 운영체제 버전에 관계없이 같은 확장자를 지닌다 ( X )

 

윈도우 아티팩트 중 하나인 프리패치 파일에 대한 설명 중 틀린 것은?

- 프리패치 파일은 윈도우 XP에서 처음 사용하였으며 Windows\Prefetch 디렉토리 하위에 *.pf 파일로 존재한다
- 프리패치 파일의 이름은 해당 애플리케이션의 이름 다음에 "-"을 표시하고 그 뒤에 애플리케이션 경로의 해시 값인 16진수를 붙여서 생성된다
- 레지스트리의 특정한 키를 통해 프리패칭의 활성/비활성을 제어할 수 있으며 비활성으로 설정하면 프리패치 파일이 더 이상 생성되지 않는다

- 프리패치에는 해당 애플리케이션이 실행된 횟수와 처음 실행된 시간 정보가 저장되어 있다 ( X )

 

다음 윈도우의 복원 지점(XP의 시스템 복원 지점(SRP), 비스타 이후의 볼륨 쉐도우 서비스(VSS)과 관련된 설명 중 틀린 것은?

시스템 복원 지점이 생성된 후 파일 변경과 같은 정보는 rp.log 파일에 기록되고 이것은 복원 지점 디렉토리에 위치한다 ( X )

 

다음 윈도우의 스왑파일에 대한 설명 중 틀린 것은?

hiberfil.sys 파일은 메모리의 사용 중인 영역뿐만 아니라 사용하고 있지 않은 영역까지 덤프하기 때문에 많은 정보가 저장되어 있다 ( X )

 

다음 중 윈도우 레지스트리를 통해 확인할 수 없는 정보는?

- 등록된 사용자 계정 정보, 해당 계정의 로그인 횟수, 계정 생성 시각 정보
- 설치된 응용 프로그램의 이름, 버전, 게시자, 설치 시각, 설치 위치 정보
- 시스템에 연결된 외부 저장 장치 정보

- 실행된 응용 프로그램의 경로, 실행 횟수, 최초 실행 시각 정보 ( X )

 

윈도우 아티팩트 중 하나인 바로가기 파일(Shell link, 링크 파일 또는 Shortcut)에 대한 설명 중 틀린 것은?

바로가기 파일 내부에는 원본 파일이 실행된 파일시스템의 DriveSerialNumber와 프리패치 파일의 정보가 저장되어 있다. ( X )

 

다음 중 윈도우 레지스트리에 대한 설명 중 틀린 것은?

HKEY_CLASSES_ROOT : 시스템에 등록된 파일 확장자와 해당 확장자와 연결된 애플리케이션에 대한 매핑정보를 저장
HKEY_CURRENT_USER : 현재 시스템에 로그온하고 있는 사용자와 관련된 시스템 정보를 저장
HKEY_USERS : 시스템에 있는 모든 계정과 그룹에 관한 정보를 저장

HKEY_LOCAL_MACHINE : 시스템이 시작할 때 사용하는 하드웨어 프로파일 정보를 저장 ( X )

 

윈도우 서버의 Active Directory에 대한 설명 중 틀린 것은?

윈도우 NT 초기버전인 3.1~4.0에서는 계정을 데이터베이스화하기 위해 SAM(Security Accounts Manager)파일을 사용하였고, Active Directory가 사용되면서 윈도우 서버 2003 이후에서는 SAM파일은 존재하지 않는다 ( X )