안녕하세요?
[XXX]의 [XX XXXXXXX (http://xxxxx.xxx)의 [XXX] 입니다.
Windows 7을 사용하면서 이해할 수 없는 부분들이 있어 문의드립니다.
 
 
[Windows 7 이용 문의]
 
●   관리자 권한에 대한 질문입니다.
 
(1)  제어판\사용자 계정 및 가족 보호\사용자 계정에 보면
      관리자 계정이 [XXX] (Administrator / 암호 사용)으로 되어 있습니다.
      그런데 관리자인 내가 왜 Users 그룹에 속해 있나요?
      그리고 C:\사용자\[XXX] 이라는 폴더가 생긴 이유는?
      * 첨부파일 : account
 
(2)  관리자인 내가 왜 내 컴퓨터의 폴더를 열어볼 수 없나요?
      C:\Documents and Settings에 액세스할 수 없는 이유는?
      C:\사용자\[XXX]의 하위 폴더를 열어볼 수 없는 이유는?
 
      ①  위치를 사용할 수 없습니다.
            ~를 액세스할 수 없습니다. 액세스가 거부되었습니다.
      ②  현재 이 폴더에 액세스할 수 있는 권한이 없습니다.
      ③  이 폴더에 액세스할 수 있는 권한이 거부되었습니다.
      * 첨부파일 : mycom
 
(3)  명령 프롬프트 창에서도 C:\Users\[XXX]> 으로 나타납니다.
      그리고 netstat -b나  netstat -b -v 명령어를 입력하고 Enter를 하면
      C:\Users\[XXX]>netstat -b
      요청한 작업을 수행하려면 권한 상승이 필요합니다.라는 메시지가 뜹니다.
      * 첨부파일 : mycom>cmd01
 
(4)  컴퓨터 관리를 사용하여 Administrator 계정을 활성화 하려 해도
      컴퓨터 관리 화면에서 [컴퓨터 관리] → [시스템 도구] 하위 폴더에
      [로컬 사용자 및 그룹] 및 [사용자] 항목이 없습니다.
      * 첨부파일 : local_user01
 
 ※  Windows 7에서 Administrator 계정을 활성화하려면
      다시 말해 내 컴퓨터의 폴더에 액세스할 수 있는 권한을 획득하려면
      어떻게 해야 하는지 상세하고 구체적인 답변주시기 바랍니다.
 
 
●   D드라이브 폴더에 캡처한 이미지를 저장하려면?
 
(1)  툴바의 화면 캡처를 이용하여 D드라이브 해당 폴더에 이미지를 저장하려고 할 때
      [이 위치에 저장할 권한이 없습니다. 권한을 얻으려면 관리자에게 문의하십시오.
      대신 내 사진 폴더에 저장하시겠습니까?]라는 메시지 창이 뜨는 이유는?
 
(2)  툴바의 화면 캡처를 이용하여 D드라이브에 새 폴더를 생성한 후, 이미지를 저장하려고 할 때
      [위치를 사용할 수 없습니다. D:\ 새 폴더가 사용 가능하지 않은 위치를 참조합니다.
      그것은 이 컴퓨터 또는 네트워크 상의 하드 디스크에 있을 수 있습니다.
      디스크가 올바르게 삽입되었는지 또는 인터넷이나 네트워크에 연결되었는지 확인하고 다시 시도하십시오.
      그래도 찾을 수 없으면 정보가 다른 위치로 이동되었을 수도 있습니다.]라는  메시지 창이 뜨는 이유는?
      * 첨부파일 : image_save
 
※   이미지 저장시 왜 D드라이브 폴더에 저장 권한이 없고,
      C:\사용자\[XXX]\내 사진 폴더에 저장해야 하는지?
      그리고 D드라이브에 새로운 폴더를 생성하고 이미지를 저장하려 할 때 왜 새 폴더를 사용할 수 없는지?
      그 원인과 해결방법에 대해 상세하고 구체적인 답변 주시기 바랍니다.
 
 
●   이미지 미리보기 시 일반적으로 파일명 <remote_desktop01.jpg-Windows 사진뷰어>로 나타나는데
      내가 지정한 파일명 대신 이상한 이름의 <jjkv-Windows 사진뷰어>나
      <kujx-Windows 사진뷰어> 등으로 나타나는 이유는?
      * 첨부파일 : image_viewer>remote_desktop01 / remote_desktop01_see
 
 
●   Windows 탐색기>즐겨찾기에 [다운로드 / 바탕화면 / 최근위치] 항목이 설정되어 있습니다.
      내가 즐겨찾기에 이 항목들을 추가하지 않았는데
      그렇다면 이 항목들은 즐겨찾기에 기본적으로 설정되어 있는 건지?
      * 첨부파일 : mycom>favorites
 
 
●   C드라이브와 D드라이브의 Recycle.bin 폴더에 $ 표시 ($Recycle.bin)가 붙은 이유는?
      * 첨부파일 : recycle_bin
 
 
●   바탕화면에 desktop.ini 파일이 2개가 생기는 이유는?
 
 
●   메모장에 desktop.ini 파일이 2개가 생기는 이유는?
      * 첨부파일 : mycom>notepad01
 
 
●   Rezip.exe 파일은 무엇인가요?
 
      Rezip.exe 파일을 분석 의뢰했는데 파일 분석 결과는 정상(악의적인 기능없음)입니다.
      제어판\시스템 및 보안\관리 도구\서비스에서 Rezip 에 대해 설명이 없습니다.(빈 칸으로 처리되어 있음)
      Rezip.exe 파일은 무엇이며, 용도는?
      * 첨부파일 : mycom>rezip01
 
 
●   PostBuild.exe 파일은 무엇인가요?
 
      C:\ProgramData\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D} 폴더에 있는
      PostBuild.exe 파일은 무엇이며, 삭제해도 되는지?
      * 첨부파일 : mycom>post_build01
 
 
●   C:\Windows\Temp 폴더에 있는 파일들을 삭제해도 되는지요?
 
      컴퓨터 사용 시 매번 [인터넷 옵션]의 [검색 기록 삭제]를 이용하여
      임시 파일, 열어본 페이지 목록, 쿠키, 저장된 암호 및 웹 양식 정보를 삭제한 후, 웹 브라우저를 닫습니다.
      그런데 C:\Windows\Temp 폴더에 파일들이 그대로 남아 있습니다.
      이 파일들은 무엇이며, 삭제해도 되는지?
      * 첨부파일 : mycom>c_windows_temp01
 
 
●   Windows 7에서 내 컴퓨터의 드라이브에 액세스 금지를 설정하려면?
 
      다른 사용자가 내 컴퓨터의 특정 드라이브에 액세스 하지 못하도록 설정하기 위해서
      [시작]을 클릭하고 검색란에 [gpedit.msc]를 입력했는데 <일치하는 항목이 없습니다>라고 나옵니다.
      일치하는 항목이 없다고 나오는 이유와 해결 방법에 대해 알려주세요.
      * 첨부파일 : mycom>gpedit01
 
 
●   내 컴퓨터의 원격 사용을 금지하려면?
 
      내 컴퓨터의 원격 사용을 금지하기 위해서 시스템 속성>원격 탭에 있는 확인란의 선택을 해제했습니다.
      * 첨부파일 : remote_access>remote_access01 / remote_access01_1
 
(1)  원격 데스크톱 서비스 (Remote Desktop Services) 속성에서
      시작유형을 <사용안함>으로 설정해 놓아도 부팅시 매번 자동으로 시작되는지?
(2)  그리고 로그온 계정이 <Network Service>로 되어 있고,
      암호도 이미 입력되어 있던데 이것이 기본 설정인지?
(3)  Remote Desktop Services 속성>종속성 탭에서 시스템 구성 요소가 기본 설정대로인지 확인해 주시고
      기본 설정된 시스템 구성 요소가 아니라면 제거 방법에 대해 알려 주세요.
      * 첨부파일 : remote_access>remote_desktop01~01_4
 
 
●   다음은 컴퓨터 관리>이벤트 뷰어>사용자 지정 보기>관리 이벤트의 경고 내용입니다.
      경고의 원인과 해결방법은?
      * 첨부파일 : event_warning
 
 
[프로세스 관련 문의]
 
●   스냅인 콘솔에서 스냅인 추가/제거 대화 상자를 열지도 않았고, 스냅인 추가도 하지 않았는데
      [스냅인을 콘솔에 추가하는 중.....]이라는 대화 상자가 뜨는 이유는?
 
 
●   스냅인 추가가 끝난 후, 작업관리자>프로세스를 확인해 봤더니
      Searchfilterhost.exe / Searchprotocolhost.exe 가 생성되었습니다.
      이 두 파일이 스냅인 추가와 관련이 있는지는 확실치 않지만,
      원래는 SearchIndexer.exe 만 실행되었는데
      Searchfilterhost.exe / Searchprotocolhost.exe 파일은 무엇이며, 왜 생성되었는지?
      * 첨부파일 : process>search_indexer01  /  process>search01
 
      이것이 탐색기에서 검색할 때 어떤 검색어를 입력하건 검색어와 관계없이
      특정 파일이 꼭 검색되는 것과 상관이 있는지?
      만일 상관이 없는 것이라면 탐색기에서 검색을 할 때 검색어와 관계없이 특정 파일이 뜨는 이유는?
 
 
●   시스템 종료시 TaskHost (Windows 작업을 위한 호스트 프로세스)를 닫아야 한다고 해서
      확인해본 결과, 내 노트북에는 작업관리자 창뿐만 아니라 어떠한 창도 떠있지 않는데
      시스템 종료를 클릭하면 TaskHost 를 닫아야 한다고 합니다. 그 이유는?
 
      그리고 Windows 작업관리자>프로세스에서
      TaskHost.exe ([XXX] / Local Service) 파일이 2개가 실행되는 이유는?
      또한 Taskeng.exe ([XXX] / System) 파일이 2개가 실행되는 이유는?
      * 첨부파일 : process>taskhost01 / taskeng01
 
 
●   Windows 작업관리자의 작동이 중지되는 이유는?
      * 첨부파일 : process>task_manager01
 
 
●   WmiPrvSE.exe (WMI Provider Host) 파일은 무엇인가요?
 
      WmiPrvSE.exe 파일을 분석 의뢰했는데 분석결과는 정상(악의적인 기능없음)입니다.
      그런데 Windows 작업관리자>프로세스 창에 WmiPrvSE.exe 파일이 나타났다 사라지고, 다시 나타나고.....
      [프로세스 끝내기]를 해도 왜 다시 실행되는지?
      그리고 WmiPrvSE.exe 파일이 2개(System / Network Service)가 실행되는 이유는?
      * 첨부파일 : process>wmiprvse01
 
 
●   dllhost.exe 는 무엇인가요?
      Windows 작업관리자>프로세스에서
      dllhost.exe ([XXX] : COM Surrogate / System : 설명 빈칸) 파일이 2개가 실행되는 이유는?
      * 첨부파일 : process>dllhost01 / dllhost02
 
 
●   mf40nt.exe 는 Anlab Myfirewall 4.0 프로세스입니다.
      그런데 설명 란에 빈 칸으로 나오는 이유는?
      * 첨부파일 : process>mf40n01
 
 
●   rundll32 (Windows 호스트 프로세스)는 무엇인가요?
      rundll32 프로세스 5~6개가 실행되고, 시스템이 다운되는 경우도 있는데 그 원인과 해결 방법은?
      * 첨부파일 : process> rundll32
 
 
●   Windows 작업관리자>프로세스 창에서 Snippingtool.exe (캡처 도구)를
      2가지 형태 ([XXX] : 캡처 도구 / 설명 빈칸)로 발견합니다. 그 차이점은?
      * 첨부파일 : process>snippingtool01 / snippingtool_capture01
 
 
●   wisptis.exe (Microsoft 펜 및 터치식 입력 구성 요소 / 설명 빈칸)는 왜 실행되나요?
      제어판\시스템 및 보안\시스템의 펜 및 터치에
      <이 디스플레이에 사용할 수 있는 펜 및 터치식 입력이 없습니다.>로 되어 있던데요.
      * 첨부파일 : process>wisptis01 / wisptis02
 
      로그아웃을 하고 [검색 기록 삭제]를 클릭하거나
      제품의 시리얼 넘버를 입력하고 [확인] 버튼을 클릭한 후 [검색 기록 삭제]를 클릭했을 때
      페이지 다운 (웹브라우저 응답없음)이 된다거나,
      주민등록번호를 입력할 때 노트북 하단 상태표시줄 위에 말풍선이 뜨고,
      그 말풍선 안에 주민등록번호 뒷자리가 표시되는 이유는?
 
 
[TCP View 관련 문의]
 
●   TCP View를 이용하여 TCP와 UDP의 연결 상태를 모니터링 하고 있습니다.
      화살 모양의 아이콘을 클릭하여 루프백(Loopback)을 제외한 현재 연결된 정보만 살펴본 결과,
      [System Process]에 소켓이 연결된 원격 PC의 IP 주소가 Local Host인 경우는?
      * 첨부파일 : tcpview>tcpview0319 / system_process02
 
 
●   [System Process]는 해당 프로세스의 등록 정보를 통해 파일의 경로를 확인할 수도 없고,
      프로세스를 종료시켜 접속을 끊을 수도 없습니다.
      이럴 때 악성 파일인지, 아닌지 확인 방법과 대처 방법은?
      * 첨부파일 : tcpview>system_process
 
 
●   다음은 TCP View를 통해 네트워크 모니터링한 결과, 이해되지 않는 사례들입니다.
      [시스템 구성 유틸리티] → [시작프로그램] 탭에서 시작 항목은 [모두 사용안함]으로 설정되어 있습니다.
      화살 모양의 아이콘을 클릭하여 루프백(Loopback)을 제외한 현재 연결된 정보만 캡처했습니다.
      * 첨부파일 : tcpview
 
 
[해킹 관련 문의]
 
●   프로그램을 모두 설치한 후, 시스템 백업을 해놓았습니다.
      타인이 내 노트북의 백업 이미지나 하드 디스크 복사가 가능한지?
      그리고 타인이 고스트 하드 복사를 한 경우, 확인 방법은?
 
 
●   침입을 시도하려는 IP가 있어 역추적을 하려고 합니다.
      IP 역추적이 가능한지? 가능하다면 IP 역추적 방법은?
      Windows 7에서 IP차단 방법은? 유동 IP 일 경우에는?
      PC 접속 기록 (로그 및 히스토리)은 어디에서 확인하는지?  확인방법은?
 
 
●   메모리 덤프는 어디에서 하는지? 그리고 사용 방법과 활용 방법은?
      해킹 증거 분석 프로그램이 있는지?
      있다면 어떤 것들이 있는지 그 종류와 취득방법은?
 
 
●   같은 층 (6층) 관리실에서 공유기와 공유 허브를 사용하고 있습니다.
      이럴 경우, 내 노트북 (무선 : Wibro 사용)에  원격 접속이 가능한지?
      그리고 스니핑(Sniffing)과 원격 제어가 가능한지?
      공유기와 공유 허브 사용시 해킹이 가능하다면 해킹 차단 방법은?
 
 
참고로 이 노트북은 나 혼자 사용합니다.
각각의 문의 사항에 대해 상세하고 명확한 답변을 해주시면 고맙겠습니다.
오늘도 즐겁고 행복한 하루 보내시기 바랍니다.