이런 질문 공세에 답변을 하실 수 있는 분...?
만약, 여러분들이 아래와 같은 질문을 어느 날 뜬금없이 메일로 받는다면... 답변하시겠어요?
(참고로, ^^; 저는 답변하지 못했습니다.)
안녕하세요?
[XXX]의 [XX XXXXXXX (http://xxxxx.xxx)의 [XXX] 입니다.
Windows 7을 사용하면서 이해할 수 없는 부분들이 있어 문의드립니다.
[Windows 7 이용 문의]
● 관리자 권한에 대한 질문입니다.
(1) 제어판\사용자 계정 및 가족 보호\사용자 계정에 보면
관리자 계정이 [XXX] (Administrator / 암호 사용)으로 되어 있습니다.
그런데 관리자인 내가 왜 Users 그룹에 속해 있나요?
그리고 C:\사용자\[XXX] 이라는 폴더가 생긴 이유는?
* 첨부파일 : account
(2) 관리자인 내가 왜 내 컴퓨터의 폴더를 열어볼 수 없나요?
C:\Documents and Settings에 액세스할 수 없는 이유는?
C:\사용자\[XXX]의 하위 폴더를 열어볼 수 없는 이유는?
① 위치를 사용할 수 없습니다.
~를 액세스할 수 없습니다. 액세스가 거부되었습니다.
② 현재 이 폴더에 액세스할 수 있는 권한이 없습니다.
③ 이 폴더에 액세스할 수 있는 권한이 거부되었습니다.
* 첨부파일 : mycom
(3) 명령 프롬프트 창에서도 C:\Users\[XXX]> 으로 나타납니다.
그리고 netstat -b나 netstat -b -v 명령어를 입력하고 Enter를 하면
C:\Users\[XXX]>netstat -b
요청한 작업을 수행하려면 권한 상승이 필요합니다.라는 메시지가 뜹니다.
* 첨부파일 : mycom>cmd01
(4) 컴퓨터 관리를 사용하여 Administrator 계정을 활성화 하려 해도
컴퓨터 관리 화면에서 [컴퓨터 관리] → [시스템 도구] 하위 폴더에
[로컬 사용자 및 그룹] 및 [사용자] 항목이 없습니다.
* 첨부파일 : local_user01
※ Windows 7에서 Administrator 계정을 활성화하려면
다시 말해 내 컴퓨터의 폴더에 액세스할 수 있는 권한을 획득하려면
어떻게 해야 하는지 상세하고 구체적인 답변주시기 바랍니다.
● D드라이브 폴더에 캡처한 이미지를 저장하려면?
(1) 툴바의 화면 캡처를 이용하여 D드라이브 해당 폴더에 이미지를 저장하려고 할 때
[이 위치에 저장할 권한이 없습니다. 권한을 얻으려면 관리자에게 문의하십시오.
대신 내 사진 폴더에 저장하시겠습니까?]라는 메시지 창이 뜨는 이유는?
(2) 툴바의 화면 캡처를 이용하여 D드라이브에 새 폴더를 생성한 후, 이미지를 저장하려고 할 때
[위치를 사용할 수 없습니다. D:\ 새 폴더가 사용 가능하지 않은 위치를 참조합니다.
그것은 이 컴퓨터 또는 네트워크 상의 하드 디스크에 있을 수 있습니다.
디스크가 올바르게 삽입되었는지 또는 인터넷이나 네트워크에 연결되었는지 확인하고 다시 시도하십시오.
그래도 찾을 수 없으면 정보가 다른 위치로 이동되었을 수도 있습니다.]라는 메시지 창이 뜨는 이유는?
* 첨부파일 : image_save
※ 이미지 저장시 왜 D드라이브 폴더에 저장 권한이 없고,
C:\사용자\[XXX]\내 사진 폴더에 저장해야 하는지?
그리고 D드라이브에 새로운 폴더를 생성하고 이미지를 저장하려 할 때 왜 새 폴더를 사용할 수 없는지?
그 원인과 해결방법에 대해 상세하고 구체적인 답변 주시기 바랍니다.
● 이미지 미리보기 시 일반적으로 파일명 <remote_desktop01.jpg-Windows 사진뷰어>로 나타나는데
내가 지정한 파일명 대신 이상한 이름의 <jjkv-Windows 사진뷰어>나
<kujx-Windows 사진뷰어> 등으로 나타나는 이유는?
* 첨부파일 : image_viewer>remote_desktop01 / remote_desktop01_see
● Windows 탐색기>즐겨찾기에 [다운로드 / 바탕화면 / 최근위치] 항목이 설정되어 있습니다.
내가 즐겨찾기에 이 항목들을 추가하지 않았는데
그렇다면 이 항목들은 즐겨찾기에 기본적으로 설정되어 있는 건지?
* 첨부파일 : mycom>favorites
● C드라이브와 D드라이브의 Recycle.bin 폴더에 $ 표시 ($Recycle.bin)가 붙은 이유는?
* 첨부파일 : recycle_bin
● 바탕화면에 desktop.ini 파일이 2개가 생기는 이유는?
● 메모장에 desktop.ini 파일이 2개가 생기는 이유는?
* 첨부파일 : mycom>notepad01
● Rezip.exe 파일은 무엇인가요?
Rezip.exe 파일을 분석 의뢰했는데 파일 분석 결과는 정상(악의적인 기능없음)입니다.
제어판\시스템 및 보안\관리 도구\서비스에서 Rezip 에 대해 설명이 없습니다.(빈 칸으로 처리되어 있음)
Rezip.exe 파일은 무엇이며, 용도는?
* 첨부파일 : mycom>rezip01
● PostBuild.exe 파일은 무엇인가요?
C:\ProgramData\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D} 폴더에 있는
PostBuild.exe 파일은 무엇이며, 삭제해도 되는지?
* 첨부파일 : mycom>post_build01
● C:\Windows\Temp 폴더에 있는 파일들을 삭제해도 되는지요?
컴퓨터 사용 시 매번 [인터넷 옵션]의 [검색 기록 삭제]를 이용하여
임시 파일, 열어본 페이지 목록, 쿠키, 저장된 암호 및 웹 양식 정보를 삭제한 후, 웹 브라우저를 닫습니다.
그런데 C:\Windows\Temp 폴더에 파일들이 그대로 남아 있습니다.
이 파일들은 무엇이며, 삭제해도 되는지?
* 첨부파일 : mycom>c_windows_temp01
● Windows 7에서 내 컴퓨터의 드라이브에 액세스 금지를 설정하려면?
다른 사용자가 내 컴퓨터의 특정 드라이브에 액세스 하지 못하도록 설정하기 위해서
[시작]을 클릭하고 검색란에 [gpedit.msc]를 입력했는데 <일치하는 항목이 없습니다>라고 나옵니다.
일치하는 항목이 없다고 나오는 이유와 해결 방법에 대해 알려주세요.
* 첨부파일 : mycom>gpedit01
● 내 컴퓨터의 원격 사용을 금지하려면?
내 컴퓨터의 원격 사용을 금지하기 위해서 시스템 속성>원격 탭에 있는 확인란의 선택을 해제했습니다.
* 첨부파일 : remote_access>remote_access01 / remote_access01_1
(1) 원격 데스크톱 서비스 (Remote Desktop Services) 속성에서
시작유형을 <사용안함>으로 설정해 놓아도 부팅시 매번 자동으로 시작되는지?
(2) 그리고 로그온 계정이 <Network Service>로 되어 있고,
암호도 이미 입력되어 있던데 이것이 기본 설정인지?
(3) Remote Desktop Services 속성>종속성 탭에서 시스템 구성 요소가 기본 설정대로인지 확인해 주시고
기본 설정된 시스템 구성 요소가 아니라면 제거 방법에 대해 알려 주세요.
* 첨부파일 : remote_access>remote_desktop01~01_4
● 다음은 컴퓨터 관리>이벤트 뷰어>사용자 지정 보기>관리 이벤트의 경고 내용입니다.
경고의 원인과 해결방법은?
* 첨부파일 : event_warning
[프로세스 관련 문의]
● 스냅인 콘솔에서 스냅인 추가/제거 대화 상자를 열지도 않았고, 스냅인 추가도 하지 않았는데
[스냅인을 콘솔에 추가하는 중.....]이라는 대화 상자가 뜨는 이유는?
● 스냅인 추가가 끝난 후, 작업관리자>프로세스를 확인해 봤더니
Searchfilterhost.exe / Searchprotocolhost.exe 가 생성되었습니다.
이 두 파일이 스냅인 추가와 관련이 있는지는 확실치 않지만,
원래는 SearchIndexer.exe 만 실행되었는데
Searchfilterhost.exe / Searchprotocolhost.exe 파일은 무엇이며, 왜 생성되었는지?
* 첨부파일 : process>search_indexer01 / process>search01
이것이 탐색기에서 검색할 때 어떤 검색어를 입력하건 검색어와 관계없이
특정 파일이 꼭 검색되는 것과 상관이 있는지?
만일 상관이 없는 것이라면 탐색기에서 검색을 할 때 검색어와 관계없이 특정 파일이 뜨는 이유는?
● 시스템 종료시 TaskHost (Windows 작업을 위한 호스트 프로세스)를 닫아야 한다고 해서
확인해본 결과, 내 노트북에는 작업관리자 창뿐만 아니라 어떠한 창도 떠있지 않는데
시스템 종료를 클릭하면 TaskHost 를 닫아야 한다고 합니다. 그 이유는?
그리고 Windows 작업관리자>프로세스에서
TaskHost.exe ([XXX] / Local Service) 파일이 2개가 실행되는 이유는?
또한 Taskeng.exe ([XXX] / System) 파일이 2개가 실행되는 이유는?
* 첨부파일 : process>taskhost01 / taskeng01
● Windows 작업관리자의 작동이 중지되는 이유는?
* 첨부파일 : process>task_manager01
● WmiPrvSE.exe (WMI Provider Host) 파일은 무엇인가요?
WmiPrvSE.exe 파일을 분석 의뢰했는데 분석결과는 정상(악의적인 기능없음)입니다.
그런데 Windows 작업관리자>프로세스 창에 WmiPrvSE.exe 파일이 나타났다 사라지고, 다시 나타나고.....
[프로세스 끝내기]를 해도 왜 다시 실행되는지?
그리고 WmiPrvSE.exe 파일이 2개(System / Network Service)가 실행되는 이유는?
* 첨부파일 : process>wmiprvse01
● dllhost.exe 는 무엇인가요?
Windows 작업관리자>프로세스에서
dllhost.exe ([XXX] : COM Surrogate / System : 설명 빈칸) 파일이 2개가 실행되는 이유는?
* 첨부파일 : process>dllhost01 / dllhost02
● mf40nt.exe 는 Anlab Myfirewall 4.0 프로세스입니다.
그런데 설명 란에 빈 칸으로 나오는 이유는?
* 첨부파일 : process>mf40n01
● rundll32 (Windows 호스트 프로세스)는 무엇인가요?
rundll32 프로세스 5~6개가 실행되고, 시스템이 다운되는 경우도 있는데 그 원인과 해결 방법은?
* 첨부파일 : process> rundll32
● Windows 작업관리자>프로세스 창에서 Snippingtool.exe (캡처 도구)를
2가지 형태 ([XXX] : 캡처 도구 / 설명 빈칸)로 발견합니다. 그 차이점은?
* 첨부파일 : process>snippingtool01 / snippingtool_capture01
● wisptis.exe (Microsoft 펜 및 터치식 입력 구성 요소 / 설명 빈칸)는 왜 실행되나요?
제어판\시스템 및 보안\시스템의 펜 및 터치에
<이 디스플레이에 사용할 수 있는 펜 및 터치식 입력이 없습니다.>로 되어 있던데요.
* 첨부파일 : process>wisptis01 / wisptis02
로그아웃을 하고 [검색 기록 삭제]를 클릭하거나
제품의 시리얼 넘버를 입력하고 [확인] 버튼을 클릭한 후 [검색 기록 삭제]를 클릭했을 때
페이지 다운 (웹브라우저 응답없음)이 된다거나,
주민등록번호를 입력할 때 노트북 하단 상태표시줄 위에 말풍선이 뜨고,
그 말풍선 안에 주민등록번호 뒷자리가 표시되는 이유는?
[TCP View 관련 문의]
● TCP View를 이용하여 TCP와 UDP의 연결 상태를 모니터링 하고 있습니다.
화살 모양의 아이콘을 클릭하여 루프백(Loopback)을 제외한 현재 연결된 정보만 살펴본 결과,
[System Process]에 소켓이 연결된 원격 PC의 IP 주소가 Local Host인 경우는?
* 첨부파일 : tcpview>tcpview0319 / system_process02
● [System Process]는 해당 프로세스의 등록 정보를 통해 파일의 경로를 확인할 수도 없고,
프로세스를 종료시켜 접속을 끊을 수도 없습니다.
이럴 때 악성 파일인지, 아닌지 확인 방법과 대처 방법은?
* 첨부파일 : tcpview>system_process
● 다음은 TCP View를 통해 네트워크 모니터링한 결과, 이해되지 않는 사례들입니다.
[시스템 구성 유틸리티] → [시작프로그램] 탭에서 시작 항목은 [모두 사용안함]으로 설정되어 있습니다.
화살 모양의 아이콘을 클릭하여 루프백(Loopback)을 제외한 현재 연결된 정보만 캡처했습니다.
* 첨부파일 : tcpview
[해킹 관련 문의]
● 프로그램을 모두 설치한 후, 시스템 백업을 해놓았습니다.
타인이 내 노트북의 백업 이미지나 하드 디스크 복사가 가능한지?
그리고 타인이 고스트 하드 복사를 한 경우, 확인 방법은?
● 침입을 시도하려는 IP가 있어 역추적을 하려고 합니다.
IP 역추적이 가능한지? 가능하다면 IP 역추적 방법은?
Windows 7에서 IP차단 방법은? 유동 IP 일 경우에는?
PC 접속 기록 (로그 및 히스토리)은 어디에서 확인하는지? 확인방법은?
● 메모리 덤프는 어디에서 하는지? 그리고 사용 방법과 활용 방법은?
해킹 증거 분석 프로그램이 있는지?
있다면 어떤 것들이 있는지 그 종류와 취득방법은?
● 같은 층 (6층) 관리실에서 공유기와 공유 허브를 사용하고 있습니다.
이럴 경우, 내 노트북 (무선 : Wibro 사용)에 원격 접속이 가능한지?
그리고 스니핑(Sniffing)과 원격 제어가 가능한지?
공유기와 공유 허브 사용시 해킹이 가능하다면 해킹 차단 방법은?
참고로 이 노트북은 나 혼자 사용합니다.
각각의 문의 사항에 대해 상세하고 명확한 답변을 해주시면 고맙겠습니다.
오늘도 즐겁고 행복한 하루 보내시기 바랍니다.