이 문서는 윈도우 NT 시스템이 해킹을 당했는지 여부를 알 수 있는 절차를 제공한다. 해킹을 당했다면 분석한 로그는 컴퓨터 포렌식스를 위한 자료로 활용될 수도 있다. 이 문서는 일반적인 분석절차이므로 시스템관리자는 운영중인 시스템환경에 맞게 적용하기를 권고한다.

 

1. 사용하지 않는 IP 대역이나 비정상적인 행위를 하는 로그를 점검한다.

▶ 이벤트 표시기(시작 ->프로그램 ->관리도구(공용) ->이벤트 표시기)를 실행하여 시스템, 보안, 애플리케이션 로그를 점검한다.

o 시스템 로그 점검

매개 변수 '/gjgjgjgjgjh'을(를) 가진 URL '/scripts/../../winnt/system32/cmd.exe'에서 시작한 스크립트가 구성된 시간 초과 기간 내에 응답하지 않았습니다. HTTP 서버가 스크립트를 종료하고 있습니다. 

매개 변수 '/c+del+"'을(를) 가진 URL '/scripts/../../winnt/system32/cmd.exe'에서 시작한 스크립트가 구성된 시간 초과 기간 내에 응답하지 않았습니다. HTTP 서버가 스크립트를 종료하고 있습니다.

o 보안 로그 점검

로그온 실패:
원인: 알 수 없는 사용자 이름 또는 잘못된 암호
사용자 이름: CHIEF
도메인: CERT
로그온 유형: 3
로그온 프로세스: KSecDD
인증 패키지: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
워크스테이션 이름: \\CHIEF

o 응용프로그램 로그 점검 예제

Microsoft FrontPage Server Extensions:
Error #20015 Message: Cannot open "C:\InetPub\wwwroot\trojanhorse.htm": no such file or directory.

침입탐지시스템(Firewall), 웹서버(IIS), 라우터를 운영하고 있다면 관련로그도 점검하여야 한다.

Top

2. 사용자 계정과 그룹을 점검한다.

도메인 사용자 관리자(시작 ->프로그램 ->관리도구(공용) ->도메인 사용자 관리자)를 실행하여 불법적인 계정이나 그룹의 생성여부를 점검한다.

o 사용자 계정 점검

C:\>net user
\\TESTNT에 대한 사용자 계정
----------------------------------------------------------------
Administrator chief FuckU
Guest IUSR_TESTNT IWAM_TESTNT
명령이 잘 실행되었습니다.

FuckU란 해커계정이 생성되어 있음을 알 수 있다.

o 글로벌그룹 계정 점검예제

C:\>net group
\\TESTNT에 대한 그룹 계정
-------------------------------------------------------------------
*Domain Admins *Domain Guests *Domain Users
*FuckYou
명령이 잘 실행되었습니다.

FuckYou란 불법 글로벌그룹 생성되어 있음을 알 수 있다.

o 로컬그룹 계정 점검예제

C:\>net localgroup
\\TESTNT에 대한 별명
---------------------------------------------------------------------------
*Account Operators *Administrators *Backup Operators
*FuckYouAll *Guests *MTS Trusted Impersonators
*Print Operators *Replicator *Server Operators
*Users
명령이 잘 실행되었습니다.

FuckYouAll 이란 불법 로컬그룹 생성되어 있음을 알 수 있다.

그리고 내장된 guest 계정이 사용안함으로 되어 있는지 점검한다.

Top

3. 모든 그룹에서 불법사용자를 점검한다.

디폴트 그룹에서 그룹에 속한 사용자들에게 특별한 권한을 준다. 즉, 예를 들면 Administrator 그룹에 속한 사용자는 로컬시스템에서 무엇이든지 할수 있고, Backup operators 그룹에 속한 사용자는 시스템상의 어떤 파일이든지 읽을수 있고, PowerUsers 그룹에 속한 사용자는 공유를 생성할 수 있다. 물론 이외에 다른 권한도 있다.

4. 사용자권한을 점검한다.

사용자와 그룹에 할당될수 있는 권한은 27가지가 있다.

5. 비인가된 응용프로그램이 실행되었는지 점검한다.

공격자가 백도어 프로그램을 심을 수 있는 방법은 여러 가지가 있다. 다음을 점검한다.

▶ 시작폴더를 점검한다. c:\winnt\profiles\(Administrator, All Users, Default

User 중 선택)\시작 메뉴\프로그램\시작프로그램 폴더를 점검한다. 혹은 시작-> 프로그램-> 시작프로그램을 클릭하여 간단히 확인할 수 도 있다.

※ 주의: 시작폴더가 2개 있다. 하나는 로컬사용자를 위한 것이고 다른 하나는 모든 사용자를 위한 것이다.

▶ 레지스트리를 점검한다.

레지스트리를 통한 일반적인 애플리케이션의 위치정보

o 레지스트리 리스트 점검

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)

Top

▶ 실행중인 불법서비스를 점검한다.

어떤 백도어 프로그램은 시스템 부팅시 시작되는 서비스로 설치된다. 이 백도어 서비스는 "서비스로 로그온 권한"을 가진 사용자에 의해 실행된다. 자동으로 실행되는 서비스를 점검하고, 트로이쟌이나 백도어 프로그램인지 점검한다.

다음은 레지스트리로부터 실행중인 서비스정보를 수집할 수 있는 간단한 배치화일이다. 실행하면 서비스키, 시작 값과 실행파일을 볼수 있다. 이 배치파일은 리소스킷에 있는 reg.exe를 사용한다.

o 배치파일을 이용한 점검

@echo off

REM The 'delims' parameter of PULLINFO1 and PULLINFO2 should be a single TAB. 

for /f "tokens=1 delims=[]" %%I in ('reg queryHKLM\SYSTEM\CurrentControlSet

\Services') do call :PULLINFO1 %%I

set START_TYPE=

goto :EOF 

:PULLINFO1

for /f "tokens=3 delims= " %%I in ('reg query HKLM\SYSTEM\CurrentControlSet

\Services\%1 ^| findstr "Start" ') do call :PULLINFO2 %1 %%I

goto :EOF 

:PULLINFO2

for /f "tokens=3,4 delims= " %%I in ('reg query HKLM\SYSTEM\CurrentControlSet

\Services\%1 ^| findstr "ImagePath" ') do call :SHOWINFO %1 %2 %%I %%J

goto :EOF 

:SHOWINFO

if /i {%2}=={0} set START_TYPE=Boot

if /i {%2}=={1} set START_TYPE=System

if /i {%2}=={2} set START_TYPE=Automatic

if /i {%2}=={3} set START_TYPE=Disabled 

if not "%4" == "" (echo %1 -%START_TYPE%- %3\%4) else (echo %1 -%START_TYPE%- %3)

goto :EOF

o reg 명령어를 이용한 점검

C:\Administrator>reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 

! REG.EXE VERSION 2.0 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Abiosdsk

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abp480n5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIEC 

-----------------------중간생략-------------------------------- 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinMgmt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTrust

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wmi

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{C898773A-5CF1-4AAD-B822-4

D0EEA86B27}

Top

6. 변경된 시스템 바이너리 파일을 점검한다.

CD-ROM이나 기타 설치매체에서 설치된 초기 시스템 바이너리 정보를 복사한 후 주기적으로 비교한다. 또한 백업시 트로이쟌이나 백도어 파일이 있는지 미리 점검한다.

트로이쟌호스 프로그램을 정상 프로그램과 같은 파일 사이즈, timestamp 로 조작이 가능하다. 이런 경우는 MD5, Tripwire나 기타 무결성 점검도구를 이용하여 트로이쟌호스 프로그램을 탐지할 수 있다. 이런 무결성 점검도구는 공격자에 의해 조작되지 않도록 안전하게 보관하여야 한다.

또는 백신프로그램을 이용하여 바이러스, 백도어, 트로이쟌호스 프로그램을 점검 할 수 있다. 하지만 변종 프로그램이 지속적으로 나오기 때문에 백신 프로그램은 최신버전으로 업데이트 하여야 한다.

7. 시스템과 네트워크 환경설정을 점검한다.

WINS, DNS, IP 포워딩 같은 환경설정변경을 점검한다. 네트워드 환경설정 등록정보를 이용하거나 ipconfig /all 명령어를 이용하여 점검한다. 

o ipconfig 명령어를 이용한 점검

C:\Administrator>ipconfig /all 

Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : chiefw2k
Primary DNS Suffix . . . . . . . : kisa.or.kr
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : kisa.or.kr
or.kr
Ethernet adapter 로컬 영역 연결:
Connection-specific DNS Suffix . :
Description . . . . . . . . : FE574B-3Com 10/100 LAN PCCard-Fast Ethernet
Physical Address. . . . . . . . . : 00-50-DA-D4-11-A4
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.2.202
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 172.16.2.1
DNS Servers . . . . . . . . . . . : 211.252.150.xxx
211.252.150.xxx

불필요한 네트워크 서비스가 실행중인지 점검한다. "netstat -an" 명령어를 이용하여 의심스러운 호스트의 접근이나 연결대기중인 의심스러운 포트를 점검한다.

Top

o netstat 명령어를 이용한 점검

C:\>netstat -na 

Active Connections 

Proto Local Address Foreign Address State

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

---------------------- 중간생략 ------------------------

TCP 0.0.0.0:31337 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING

TCP 172.16.2.168:31337 172.16.2.154:1652 ESTABLISHED

UDP 0.0.0.0:135 *:*

UDP 172.16.2.168:137 *:*

UDP 172.16.2.168:138 *:*

백오리피스2000이 설치되었고, 연결되어 있음을 알수 있다.

o 배치파일을 이용한 점검

@echo off

for /f "tokens=1,2 delims=:" %%I in ( 'netstat -an ^| findstr "0.0.0.0:[1-9]"' ) do call : CLEAN %%I %%J

goto :EOF 

:CLEAN

set X=0

for /f "tokens=1,2,3 delims=TAB " %%A in ( 'findstr /I "\<%3/%1\>" port-numbers.txt' ) do call :SETUP %%A %%C %3 %1

if %X% == 0 echo %3/%1 ***UNKNOWN***

goto :EOF 

:SETUP

echo %3/%4 %1 %2

set X=1;

goto :EOF

port-numbers.txt 라는 파일이 필요하다. 이 파일에는 점검하고자 하는 포트를 정리한다. 첨부1. 참고

Top

8. 비인가된 파일공유를 점검한다.

명령프롬프트에서 net share 명령어를 이용하여 점검하거나 서버관리자를 이용하여 점검한다. 공유폴더의 끝에 "$" 표시가 있으면 이는 hidden share이다. 즉, 불법 공유폴더와 NT의 디폴트나 공유폴더에 비인가된 사용자가 연결되어 있는지 점검한다.

o net share 명령어를 이용한 점검

C:\>net share 

공유 이름 리소스 설명 

--------------------------------------------------------------

print$ C:\WINNT\system32\spool\drivers 프린터 드라이버

IPC$ Remote IPC

C$ C:\ Default share
ADMIN$ C:\WINNT Remote Admin
I386 C:\I386
QLaserSF LPT1: 스풀됨 QLaser SF710
명령이 잘 실행되었습니다.

o net use, net session 명령어를 이용하여 점검

o 서버관리자(시작->프로그램->관리도구(공용)->서버관리자)를 이용한 점검

FuckU 란 해커가 C 드라이버에 공유연결을 사용하고 있음을 찾을 수 있다.

Top

9. 실행중인 스케줄러를 점검한다.

"at" 명령어나 리소스 킷에 있는 WINAT 도구를 사용하여 점검한다.

o at 명령어를 이용한 점검

C:\>at
상태 ID 날짜 시간 명령줄
-------------------------------------------------------------
1 다음 29 오후 3:00 cmd.exe 

10. 불법프로세스를 점검한다.

작업관리자나 리소스 킷에 있는 pulist.exe나 tlist.exe를 이용하여 실행중인 프로세스를 점검한다. pulist 명령어를 이용하면 누가 프로세스를 실행시켰는지 알수 있다.

o tlist 명령어를 이용한 점검

C:\Administrator>tlist -t
System Process (0)
System (8)
smss.exe (200)
csrss.exe (228)
winlogon.exe (252) NetDDE Agent
services.exe (280)
mstask.exe (1188) SYSTEM AGENT COM WINDOW
svchost.exe (2204) ModemDeviceChange
dns.exe (1812)
---------------------- 중간생략 ------------------------
explorer.exe (1836) Program Manager
cmd.exe (2080) C:\WINNT.0\System32\cmd.exe - tlist -t
tlist.exe (2352)
IEXPLORE.EXE (2064) Microsoft Internet Explorer
regedt32.exe (1360) 레지스트리 편집기
mmc.exe (1988) 컴퓨터 관리
spade.exe (440) Spade - [Scan 172.16.2.200-172.16.2.202, finished]
tp4mon.exe (2420) Zoom Window
internat.exe (864)
conime.exe (2020

spade.exe 프로그램으로 스캔이 완료되었음을 알 수 있다.

Top

11. 이상한 파일이나 숨겨진 파일을 찾는다.

패스워드 크래킹 프로그램이나 다른 시스템의 패스워드 파일이 있는지 점검한다. 탐색기(보기 ->폴더 옵션 ->보기 ->모든 파일 표시)를 이용하여 숨겨진 파일을 찾거나, "dir /ah" 명령어를 이용하여 점검한다.

12. 파일 퍼미션 변경이나 레지스트리 키값의 변경을 점검한다.

리소스 킷의 xcacls.exe 프로그램을 이용하여 디렉토리별 파일들을 점검한다.

13. 사용자나 컴퓨터의 정책변화를 점검한다.

정책편집기(poledit.exe)에서 구성된 현재 정책의 복사본을 정리하여 주기적으로 변경되었는지 점검한다.

14. 시스템이 다른 도메인으로 변경되었는지 점검한다.

15. 한 시스템이 해킹을 당했다면 로컬 네트워크내의 모든 시스템을 점검한다.

첨부1. 윈도우 NT 4.0의 잘 알려진 서비스 포트정리

서비스(function)

포트(static ports)

Browsing
DHCP Lease
DHCP Manager
Directory Replication
DNS Administration
DNS Resolution
Event Viewer
File Sharing
Logon Sequence
NetLogon
Pass Through Validation
Performance Monitor
PPTP
Printing
Registry Editor
Server Manager
Trusts
User Manager
WinNT Diagnostics
WinNT Secure Channel
WINS Replication
WINS Manager
WINS Registration

UDP:137,138
UDP:67,68
TCP:135
UDP:138 TCP:139
TCP:135
UDP:53
TCP:139
TCP:139
UDP:137,138 TCP:139
UDP:138
UDP:137,138 TCP:139
TCP:139
TCP:1723 IP Protocol:47 (GRE)
UDP:137,138 TCP:139
TCP:139
TCP:139
UDP:137,138 TCP:139
TCP:139
TCP:139
UDP:137,138 TCP:139
TCP:42
TCP:135
TCP:137


[ Reference ]

1. http://www.cert.org/tech_tips/win_intruder_detection_checklist.html
2. http://www.cert.org/tech_tips/win-resources.html
3. http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
4. http://www.boran.com/security/nt1.html
5. http://support.microsoft.com

 

// bbs.kobis.net/~macs911/hyuks911/www/windowsnt/hackanal.htm

저작자표시 비영리

'Security' 카테고리의 다른 글

[Linux] Web Hacking (Linux Server Security)  (0) 2017.01.08
Netcat  (0) 2017.01.08
버퍼 오버플로우(Buffer overflow)  (0) 2017.01.08
유닉스 피해시스템 분석  (0) 2017.01.08
SQL Injection 기법 정리  (0) 2017.01.08

net user administrator *

C:\>net user administrator *
사용자에 대한 암호를 입력하십시오:
암호를 확인하기 위해 다시 입력하십시오:
명령을 잘 실행했습니다.

보너스 팁 - net user 명령을 이용한 랜덤하게 암호 설정하기!
C:\>net user administrator /random
administrator의 암호: JTE7B-tz

명령을 잘 실행했습니다.


C:\>net user administrator /random
administrator의 암호: n$XGj5@y

명령을 잘 실행했습니다.

잊어버리면.. ㄷㄷ....

이 명령에 대한 구문:
NET USER 
[사용자이름 [암호 | *] [옵션]] [/DOMAIN]
         사용자이름{암호 | *} /ADD [옵션] [/DOMAIN]
         사용자이름 [/DELETE] [/DOMAIN]

NET USER는 컴퓨터의 사용자 계정을 만들거나 수정합니다. 스위치 없이 사용될
경우, 컴퓨터에 있는 사용자 계정을 열거해 줍니다. 사용자 계정 정보는 사용자
계정 데이터베이스에 저장됩니다.

이 명령은 서버상에서만 실행됩니다.

사용자이름   추가, 삭제, 수정, 또는 보고자 하는 사용자 계정의 이름입니다.
             사용자 계정의 이름은 20자까지 쓸 수 있습니다. 
암호         사용자 계정에 대한 암호를 부여하거나 바꿔줍니다. 암호는 NET
             ACCOUNTS 명령의 /MINPWLEN 옵션으로 설정된 최저 길이 조건을
             만족시켜야 합니다.
             14자까지 쓸 수 있습니다.
*            암호를 칠 수 있는 프롬프트 상태로 만들어줍니다. 암호 프롬프트
             에서는 입력된 암호가 보이지 않습니다.
/DOMAIN      현재 도메인의 도메인 컨트롤러에 대한 작업을 수행합니다.
/ADD         사용자 계정 데이터베이스에 사용자 계정을 추가합니다.
/DELETE      사용자 계정 데이터베이스에서 사용자 계정을 삭제합니다.

옵션      옵션은 다음과 같습니다.

   옵션                       설명
   -----------------------------------------------------------------------
   /ACTIVE:{YES | NO}      해당 계정을 활성화시키거나 비활성화시킵니다. 해
                           당 계정이 활성화되어 있지 않을 경우 사용자는
                           서버에 연결할 수 없습니다.
                           기본설정은 YES입니다.
   /COMMENT:"문자열"       사용자의 계정에 관한 설명을 제공합니다.
                           (최고 48자까지 쓸 수 있습니다). 문자열은 인용
                           부호 안에 넣습니다.
   /COUNTRYCODE:nnn        사용자의 도움말과 오류 메시지를 위한 특정 언어
                           파일을 만들기 위해 운영 시스템의 국가 코드를
                           이용합니다. 0은 기본 설정 국가 코드를 나타냅니다.
   /EXPIRES:{날짜| NEVER}  날짜를 지정해주면 계정이 지정된 날짜에 만료됩니
                           다. NEVER는 시간 제한을 주지 않음을 의미합니다.
                           만료 날짜는 국가 코드에 따라 월/일/년 혹은 일/월/
                           년의 형태로 표시합니다. 월은 숫자로 하거나 문자로 표기해도
                           되고 3자로 약자표기 할 수도 있습니다. 년도는 2자
                           혹은 4자의 숫자로 표기합니다. 날짜를 표기할 때는
                           슬래시(/) (공백이 아니라)를 써서 년월일을 구분합니다.
   /FULLNAME:"이름"        사용자의 전체 이름입니다(사용자이름이라기보다).
                           이름은 인용부호 안에 넣어줍니다.
   /HOMEDIR:경로명         사용자의 홈 디렉터리에 대한 경로를 지정해줍니다.
                           경로는 반드시 있어야 합니다.
   /PASSWORDCHG:{YES| NO}  사용자가 자신의 암호를 변경할 수 있는지 
                           지정해 줍니다. 기본 설정은 YES입니다.
   /PASSWORDREQ:{YES | NO} 사용자 계정에 암호가 있어야 하는지를 지정합니다.
                           기본설정은 YES입니다.
   /PROFILEPATH[:경로]     사용자의 로그온 프로필 경로를 지정합니다.
   /SCRIPTPATH:경로명      사용자의 로그온 스크립트의 위치입니다.
   /TIMES:{시간 | ALL}     로그온 시간입니다. 요일[-요일][,요일[-요일]],
                           시간[-시간[,시간[-시간]]으로 표기되며 1시간씩
                           늘어나도록 제한됩니다. 요일은 영문으로 표기하되 
                           전부 풀어 쓰거나 줄여 쓸 수 있습니다. 시간은 12시간 
                           표기법이나 24시간 표기법 둘 다 가능합니다. 12시간 
                           표기법으로 쓸 때는 am, pm, a.m., 또는 p.m. 으로 
                           구분시켜줍니다. ALL은 사용자가 항상 로그온할 수 
                           있다는 의미이고 공란은 사용자가 절대로 로그온할
                           수 없음을 표시합니다. 요일과 시간은 쉼표(,)로
                           구분시켜주고, 요일과 시간을 여러 개 쓸 경우에는
                           세미콜론(;)으로 구분시킵니다.
   /USERCOMMENT:"문자열"   관리자가 계정에 대한 사용자 설명을 추가하거나
                           변경시킬 수 있게 해줍니다.
   /WORKSTATIONS:{컴퓨터이름[,...] | *}
                           사용자가 어느 컴퓨터에서 네트워크로 로그온 할
                           수 있는지 보여줍니다. 최고 8개 컴퓨터까지
                           보여줍니다. 목록이 없거나 *일 경우 사용자는
                           어느 컴퓨터에서도 로그온 할 수 있습니다.

NET HELP 명령| MORE 는 도움말을 한번에 한 화면씩 보여줍니다.

저작자표시 비영리

'Server' 카테고리의 다른 글

CentOS/Apache SSL 설정  (0) 2017.01.06
FTP 정리 Active/Passive 그리고 TFTP  (0) 2017.01.06
윈도우 커맨드 net rkill at 등  (0) 2017.01.06
윈도우 CMD 명령어  (0) 2017.01.06
HTTP Method  (0) 2017.01.06

윈도우즈 콘솔 명령어 모음

확장 명령어 세트와 기본 명령어 세트를 조합하면 윈도우 NT 셸 프로그래밍을 할 수 있다. 기본 명령어 세트는 도스에서 이미 익숙해 져 있는 명령어들일 것이므로, 확장 명령어 세트들만 여기서 설명하기로 하겠다. 윈도우 NT의 도스 명령어 코드들은 완벽한 32비트 코드로 이루어져 있기 때문에 이전 도스와는 완전히 다른 명령어지만, 피상적으로는 유사한 역할을 한다고 볼 수 있다. 확장 명령어들은 다음과 같다. 
ERASE, COLOR, CHDIR, MKDIR, PROMPT, PUSHD, POPD, SET, SETLOCAL, ENDLOCAL IF, FOR, CALL, SHIFT, GOTO, START, ASSOC, FTYPE 등이다. 각각에 대한 자세한 설명을 알고 싶으면 명령어 끝에 /? 옵션을 주면 된다.

A.3 윈도우 NT 전용 명령어 

AT : 명령어와 프로그램의 실행을 스케쥴한다. 
ATTRIB : 파일 속성을 표시하거나 바꾼다. 
BREAK : 확장된 CTRL+C 검사를 설정하거나 지운다. 
CALL : 한 일괄 프로그램에서 다른 일괄 프로그램을 호출한다. 
CHCP : 활성화된 코드 페이지의 수를 표시하거나 설정한다. 
CHDIR(CD) : 현재 디렉터리 이름을 보여주거나 바꾼다. 
CHKDSK : 디스크를 검사하고 상태 보고를 표시한다. 
CLS : 화면을 지운다. 
CMD : Windows NT 명령 인터프리터의 새 인스턴스를 시작한다. 
COMP : 두 개 또는 여러 개의 파일을 비교한다. 
CONVERT : FAT 볼륨을NTFS로 변환한다. 현재 드라이브는 변환할 수 없다. 
ex> convert c:/fs:ntfs
COPY : 하나 또는 그 이상의 파일을 다른 위치로 복사한다. 
DATE : 날짜를 보여주거나 설정한다. 
DEL : 하나 또는 그 이상의 파일을 지운다. 
DIR : 디렉토리에 있는 파일과 하위 디렉토리 목록을 보여준다. 
DISKCOMP : 두 플로피 디스크의 내용을 비교한다. 
DISKCOPY : 플로피 디스크의 내용을 다른 플로피 디스크로 복사한다. 
DOSKEY : 명령 줄을 편집하고, Windows NT 명령을 다시 호출하고, 매크로를 만든다. 
ECHO : 메시지를 보여주거나, 명령어 반향을 켜거나 끈다. 
ENDLOCAL : 배치 파일에서 환경 변경의 지역화를 끝낸다. 
ERASE : 하나 또는 그 이상의 파일을 지운다. 
EXIT : CMD.EXE 프로그램 (명령 인터프리터)를 마친다. 
FC : 두 파일 또는 파일의 집합을 비교하고 둘 사이의 다른 점을 표시한다. 
FIND : 파일에서 텍스트 문자열을 찾는다. 
FINDSTR : 파일에서 문자열을 찾는다. 
FOR : 파일 집합에서 각 파일에 대해 지정된 명령을 실행한다. 
FORMAT : Windows NT에 사용할 디스크를 포맷한다. 
GOTO : Windows NT 명령 인터프리터가 배치 프로그램에서 이름표가 붙여진 줄로 
이동하게 한다. 
GRAFTABL : Windows NT가 그래픽 모드에서 확장 문자 세트를 표시할 수 있게 한다. 
HELP : Windows NT 명령어에 관한 도움말을 제공한다. 
LABEL : 디스크의 볼륨 이름을 만들거나, 바꾸거나, 지운다. 
MKDIR(MD) : 디렉토리를 만든다. 
MODE : 시스템 디바이스를 구성한다. 
MORE : 출력을 한번에 한 화면씩 표시한다. 
MOVE : 하나 또는 그 이상의 파일을 한 디렉토리에서 다른 디렉토리로 옮긴다. 
NET ACCOUNTS : 도메인 서버의 로그온에 필요한 것이나 암호를 표시 또는 설정한다. 
NET COMPUTERS : Windows NT 도메인 서버에 컴퓨터의 추가(도메인 서버에서만 
가능)한다. 
NET CONFIG : 서비스 동작 중에 제어가능한 서비스를 표시한다. 
NET CONFIG SERVER : 서비스 동작 중에 서버 서비스의 설정을 변경하거나 표시한다. 
NET CONFIG WORKSTATION : 워크스테이션 동작 중에 워크스테이션 서비스의 설정을 
변경하거나 표시한다. 
NET CONTIUNE : 일시 정지된 서비스의 재활성화한다. 
NET FILE : 서버에 있는 열린 공유 파일의 수와 각 파일의 락(존재할 경우)의 수를 표시
한다. 이 명령은 개인 공유 파일을 닫을 수도 있고 락을 제거할 수도 있다. 
NET GROUP : 글로벌 그룹의 추가, 표시 또는 수정(서버에서만 가능)한다. 
NET HELP : 네트워크 명령과 도움말을 얻고자 하는 것의 제목 목록을 표시하거나 특정 
명령이나 제목에 대한 도움말의 제공한다. 
NET HELPMSG : 네트워크 에러 메시지에 대한 도움말 제공한다. 
NET LOCALGROUP : 지역 그룹의 추가, 표시, 수정한다. 
NET NAME : 워크스테이션에 메시지 이름을 추가, 삭제하거나 표시한다. 
NET PAUSE : 서비스나 공유 프린터를 일시 멈춘다. 
NET PRINT : 프린터 작업을 표시화거나 컨트롤한다. 
NET SEND : 네트워크의 다른 컴퓨터에 메시지를 전달한다. 
NET SESSION : 서버와 워크스테이션과의 세션을 보여주거나 연결 해제한다. 
NET SHARE : 공유 리소스를 작성, 삭제 또는 표시한다. 
NET START : 서비스를 시작하거나 시작된 서비스의 목록을 표시한다. 
NET STATISTICS : Statistics Log를 표시한다. 
NET STOP : 네트워크 서비스의 중단한다. 
NET TIME : 서버나 도메인의 시계가 컴퓨터의 시계와 일치하도록 하는 것이거나 서버나
도메인의 시간을 표시한다. 
NET USE : 컴퓨터를 공유 리소스에 연결하거나 연결 해제하거나 컴퓨터 연결간의 
정보를 본다. 
NET USER : 사용자 계정을 추가하거나 수정, 또는 계정 정보를 본다. 
NET VIEW : 서버의 목록이나 서버에 의해 공유된 리소스를 표시한다. 
PATH : 실행 파일의 찾기 경로를 보여주거나 설정한다. 
PAUSE : 일괄 파일의 처리를 보류하고 메시지를 보여준다. 
POPD : PUSHD 명령으로 저장된 디렉토리로 바꾼다. 
PRINT : 텍스트 파일을 인쇄한다. 
PROMPT : Windows NT 명령 프롬프트를 바꾼다. 
PUSHD : 현재 디렉토리를 저장한 후 디렉토리를 바꾼다. 
RECOVER : 불량이거나 결함이 있는 디스크에서 읽을 수 있는 정보를 복구한다. 
REM : 배치 파일 또는 CONFIG.SYS에서 주석을 기록한다. 
RENAME(REN) : 파일 이름을 바꾼다. 
REPLACE :파일을 대체한다. 
RESTORE : BACKUP 명령으로 백업된 파일을 복원한다. 
RMDIR(RD) : 디렉토리를 지운다. 
SET : Windows NT 환경 변수를 보여주거나, 설정하거나, 지운다, 
SETLOCAL : 일괄 파일에서 환경 변경의 지역화를 시작한다. 
SHIFT : 일괄 파일에서 바꿀 수 있는 매개 변수의 위치를 바꾼다. 
SORT : 입력을 정렬한다. 
START : 지정된 프로그램이나 명령을 별도의 창에서 시작한다. 
SUBST : 경로를 드라이브 문자로 지정한다. 
TIME : 시스템 시간을 보여주거나 설정한다. 
TITLE : CMD.EXE 세션에 대한 창의 창 제목을 설정한다. 
TREE : 드라이브 또는 경로의 디렉토리 구조를 그래픽으로 화면에 표시한다. 
TYPE : 텍스트 파일의 내용을 보여준다. 
VER : Windows NT 버전을 보여준다. 
VERIFY : 파일이 디스크에 올바로 쓰였는지 검증할지 여부를 지정한다. 
VOL : 디스크 볼륨 이름과 일련 번호를 보여준다. 
XCOPY : 파일과 디렉토리 트리를 복사한다. 


16비트 명령어 세트 

APPEND : 프로그램으로 하여금 지정된 디렉토리에 있는 데이터 파일을, 파일이 현재 
디렉터리에 있는 것처럼 하여 열게 한다. 
BACKUP : 다른 디스크로 파일들을 백업한다. 
DEBUG : 프로그램 테스트/편집 도구인 Debug를 실행한다. 
EDIT : 텍스트 파일을 새로 만들거나, 변경하려 할때 한글 MS-DOS 편집기를 사용한다. 
EDLIN : 줄 단위 텍스트 편집기인 EDLIN을 시작한다. 
EXE2BIN : EXE(실행 파일)을 이진 형식으로 변환한다. 
EXPAND : 하나 이상의 압축 파일을 푼다. 
GRAPHICS : 그래픽을 인쇄할 수 있는 프로그램을 읽어들인다. 
LOADFIX : 프로그램을 메모리의 처음 64K에 읽어들여서 실행한다. 
LOADHIGH : 프로그램을 상위 메모리에 읽어들인다. 
MEM : 시스템에서 사용된 메모리 및 사용 가능한 메모리 양을 표시한다. 
QBasic : 한글 MS-DOS QBasic 프로그램 환경을 시작한다. 
SETVER : MS-DOS가 프로그램에 보고하는 버전 번호를 설정한다. 
SHARE : SHARE 프로그램을 시작한다. 

저작자표시 비영리

'Server' 카테고리의 다른 글

윈도우 net user 커맨드  (0) 2017.01.06
윈도우 커맨드 net rkill at 등  (0) 2017.01.06
HTTP Method  (0) 2017.01.06
윈도우 제어판/관리콘솔실행명령어  (0) 2017.01.06
캐시 리미터 cache-control  (0) 2017.01.06

제어판 바로실행 명령어
Contrl Panel의 약자로, 제어판에 나타나는 설정 항목 파일이며, EXE파일과 같이 실행이 가능하다. 일례로 디스플레이 항목의 파일인 desk.cpl파일은 더블 클릭하면 디스플레이 등록 정보가 실행된다. 각 제어판의 항목과 해당 CPL파일의 이름은 다음과 같다.

 

control  제어판
Access.cpl  내게 필요한 옵션
appwiz.cpl   프로그램 추가/제거
bthprops.cpl   블루투스장치설정
desk.cpl   디스플레이 등록정보
firewall.cpl   Windows방화벽
hdwwiz.cpl   새하드웨어추가마법사
inetcpl.cpl   인터넷 등록정보
intl.cpl   국가 및 언어옵션
irprops.cpl   적외선포트 설정
joy.cpl   게임컨트롤러
main.cpl   마우스등록정보
mmsys.cpl   사운드및 오디오장치등록정보
ncpa.cpl   네트워크연결
netsetup.cpl   네트워크설정마법사
nusrmgr.cpl   사용자계정
nwc.cpl   네트워크 게이트웨이
odbccp32.cpl   ODBC데이터원본 관리자
powercfg.cpl    전원옵션 등록정보
sysdm.cpl   시스템등록정보
telephon.cpl   전화및모뎀 옵션 
timedate.cpl   날짜 및 시간 등록정보
wscui.cpl   Windows 보안센터
wuaucpl.cpl   자동업데이트
Sapi.cpl   텍스트 음성 변환설정
control Admintools   관리도구
control Folders   폴더옵션
control Userpasswords   사용자 계정

 

관리콘솔 명령어
certmgr.msc : 인증서
ciadv.msc : 인덱싱서비스
ntmsmgr.msc : 이동식저장소
ntmsoprq.msc : 이동식저장소 운영자 요청
secpol.msc : 로컬보안정책
wmimgmt.msc : WMI(Windows Management Infrastructure)
compmgmt.msc : 컴퓨터 관리
devmgmt.msc : 장치관리자
diskmgmt.msc : 디스크 관리
dfrg.msc : 디스크 조각모음
eventvwr.msc : 이벤트 뷰어
fsmgmt.msc : 공유폴더
gpedit.msc : 로컬 컴퓨터 정책
lusrmgr.msc : 로컬 사용자 및 그룹
perfmon.msc : 성능모니터뷰
rsop.msc : 정책의 결과와 집합
secpol.msc : 로컬 보안설정
services.msc : 서비스
C:\WINDOWS\system32\Com\comexp.msc : 구성요소서비스
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorcfg.msc : .NET Configuration 1.1

 

 

기타 실행 명령어
cmd : 도스명령프롬프트 실행,  단, 윈98은 command
shutdown -i : GUI화면으로 시스템 종료, 재부팅 가능
shutdown -a : 종료 설정 중지
netstat : 인터넷 접속 상황
ipconfig /all : ip주소,게이트웨이,서브넷마스크, DNS서버주소,physical주소
dxdiag : 다이렉트 - X 상태 정보 화면
cleanmgr : 디스크 정리
regedit  : 레지스트리 편집기
netsetup : 네트워크 설정 마법사
calc : 계산기
charmap : 문자표
pbrush , mspaint  : 그림판
cleanmgr : 디스크정리
clipbrd : 클립보드에 복사된 내용 표시
control : 제어판
dxdiag : 다이렉트X 진단도구 및 그래픽과 사운드의 세부정보를 보여줌
eudcedit  : 용자 정의 문자 편집기
explorer : 탐색기
magnify : 돋보기
osk : 화상키보드
winmine : 지뢰찾기
sndrec32 녹음기
wordpad : 워드패드
sndvol32 : 시스템 사운드 등록정보,볼륨조절
sysedit : autoexec.bat, config.sys, win.ini, system.ini 시스템구성편집기
systray : 사운드 볼륨설정 노란색 스피커 아이콘을 트라이목록에 띄움
mobsync : 동기화
msconfig : 시스템 구성요소 유틸리티
msinfo32 : 시스템정보
mstsc : 원격 데스크톱 연결
netstat -na : 현재 열린포트와 TCP/IP 프로토콜정보를 보여줌, 열린포트로 트라이목마형 바이러스 침투 유무확인가능
notepad : 메모장
wab : 주소록
ntbackup : 백업 및 복원 마법사
ping 사이트주소 : 핑테스트 해당 사이트의 인터넷연결 유무 확인
sfc : 시스템 파일 검사기. 시스템 파일을 검사한후 깨지거난 손실된 파일을 원본 압축파일에서 찾아서 복원시켜줌 . 단, 윈2000에서는 cmd실행 후 sfc사용 - 마지막 설정된 값을 다음 윈도우부팅시 곧바로 실행됨[수정]
telnet open 사이트주소 : 텔넷접속명령어
tourstart : 윈도우 기능안내 html 문서표시
winipcfg : 인터넷에 접속된 자신의 아이피 주소를 보여줌) 단, 윈2000은 ipconfig로 변경됨
winver : 윈도우 버전확인
wmplayer : 윈도우 미디어 플레이어
wupdmgr : 윈도우업데이트

--------------------------------------------------------------------------------------------------------------------------

msconfig  시작프로그램 제어등 많은기능 제공 (단, 윈2000은 지원 안함)

regedit   레지스트리 편집기

sysedit   autoexec.bat , config.sys ,win.ini, system.ini 시스템구성편집기

command   도스명령프롬프트 실행 (단,윈2000은 cmd로 변경됨)

telnet open 사이트주소 텔넷접속명령어

netstat -na  현재 열린포트와 TCP/IP 프로토콜정보를 보여줌
   (열린포트로 트라이목마형 바이러스 침투 유무확인가능)

sfc   시스템 파일 검사기
   (단,시스템 파일을 검사한후 깨지거난 손실된 파일을 원본 압축파일에서 찾아서 복원시켜줌)

winipcfg  인터넷에 접속된 자신의 아이피 주소를 보여줌
   (단, 윈2000은 ipconfig로 변경됨)

dxdiag   다이렉트X진단도구 및 그래픽과 사운드의 세부정보를 보여줌

systray   사운드 볼륨설정 노란색 스피커 아이콘을 트라이목록에 띄움

ping 사이트주소  핑테스트 해당 사이트의 인터넷연결 유무 확인

--------------------------------------------------------------------------------
drwatson(9x), drwtsn32(2K,XP), wercon(VISTA)
   에러가 발생하여 컴을 강제 종료 시켜야할 상황등을 겪으셨다면 꼭 알고 있어야할 명령어
   실행하면 에러 다이얼로그 박스를 잡아 줍니다.

msconfig    시작프로그램및 서비스를 중지 시킨다거나 하는등의
   시스템 리소스 확보를 위한 윈도우의 기초적인 환경설정을 할수 있죠.

netstat -na   현재 내컴에 접속되어 있는 IP를 출력 합니다.  부속적인 다양한 옵션이 있습니다.

conf    윈도에서 기본제공하는 원격관리 툴인 netmeeting를 실행시켜줍니다.

ping   상대방 IP로 접속이 가능한지 때려보는 명령
   ping yahoo.co.kr  등..... 회선속도및 대상 컴퓨터의 OS판단이 가능함.

xcopy    copy명령어보다 상당한 기능을 제공하는 복사명령어. 하드의 OS까지 복사 가능함...
   XCOPY C: D: /S/C/H/E/R/K  범용적인 옵션. 예전의 98및 도스시절에 많이 쓰던 명령어 이죠..

ipconfig   명령프롬프터에서 실행시키면 내컴의 IP를 알수 있음
   [config/renew] 동적 IP를 새로이 잡아줌.
   [config/release] 동적 IP를 삭제함

cmd   명령 프롬프트(윈도우 도스)를 실행시키는 명령

sfc /Scannow  오류난 파일을 검색하여 원본으로 재 배치 할때 씁니다.
   파일을 가져올때 윈도우 정품CD가 필요합니다.

regedit   레지스트리 편집기를 실행 합니다.

oobe/msoobe /a   원도우 정품 확인 명령어

scandisk c:  도스상의 명령어로 윈도우위 디스크 검사와 동일 합니다.

ren *.txt *.bak    파일명 바꾸는 도스 명령어
   ren a.txt b.txt  - a.txt 파일을 b.txt 파일로 이름을 바꿈

tracert 대상 사이트 주소 예:tracert yahoo.co.kr
   야후까지  경유해가는 IP를 출력해 줍니다. (IP 를 추적할수도 있죠)

shutdown -a   악성 바이러스및 자동종료 웜등으로 부터 자동종료를 막을때..

dxdiag    컴의 다이렉트 x 버젼확인

deltree   도스에서. 하위 디렉토리까지 포함하여. 삭제 가능한 명령어..
   del이나 erase 보다 막강한 기능제공 (deltree XXX)

mstsc.exe  원격 데스크톱 연결 사용

rcimlby.exe -LaunchRA msn 메신저로 상대에게 원격지원요구

--------------------------------------------------------------------------------

▶ 관리 관련 명령어

certmgr.msc  인증서 관리

ciadv.msc   인덱싱 서비스

compmgmt.msc  컴퓨터 관리
   
devmgmt.msc  장치관리자
   
diskmgmt.msc  디스크 관리
   
dfrg.msc   디스크 조각모음
   
eventvwr.msc  이벤트 뷰어
    
fsmgmt.msc  공유폴더
   
gpedit.msc  로컬 컴퓨터 정책
   
lusrmgr.msc  로컬 사용자 및 그룹

ntmsmgr.msc  Removable Storage

ntmsoprq.msc  이동식 저장소 운영자 요청

perfmon.msc  성능모니터뷰
   
rsop.msc   정책의 결과와 집합
   
secpol.msc  로컬 보안설정
   
services.msc  서비스

wmimgmt.msc  WMI 서비스 구성

comexp.msc  comexp 구성 요소 서비스

control userpasswords2 사용자 계정

mmc   콘솔루터

taskmgr   윈도우 작업 관리자

fltmc   필터 드라이버 로딩 언로딩 및 목록 보기 mini filter 라서 XP SP2 이후 부터.

fsutil   파일 시스템 관련 정보 및 쿼리 가능. 파일 공간 잡기

net   service나 드라이버 로딩 및 시작(start), 정지(stop)

tasklist   프로세스 리스트 확인

attrib   파일속성 변경


--------------------------------------------------------------------------------


▶시작메뉴명령어들

Accessibility Wizard [Accwiz.exe]   내게 필요한 옵션 마법사

Narrator [Narrator.exe ]    내레이터

Address book [Wab.exe]    주소록 - 주ID

Notepad [Notepad.exe ]    메모장

Backup [Ntbackup.exe]    백업및 복원 마법사

On-Screen Keyboard [Osk.exe ]   화상키보드

Calculator [Calc.exe]    계산기

Outlook Express [Msimn.exe ]   아웃룩 익스프레스

Character map [Charmap.exe]    문자표

Paint [Mspaint.exe ]     그림판

Command prompt [Cmd.exe]    명령프롬프트

Pinball [Pinball.exe ]    핀볼

Data sources (ODBC) [Odbcad32.exe]   ODBC 데이터 원본 관리자

Remote Assistance [Rcimlby.exe ]   MSN

Disk cleanup [Cleanmgr.exe]    디스크 정리

Remote Desktop Connection [Mstsc.exe ]  원격 데스크톱 연결

FreeCell [Freecell.exe]    프리셀

Solitaire [Sol.exe ]     카드놀이

Files and Settings Transfer Wizard [Migwiz.exe]  파일 및 설정 전송 마법사

Sound Recorder [Sndrec32.exe ]   녹음기

Hearts [Mshearts.exe]    하트 네트워크

Spider Solitaire [Spider.exe ]    스파이더

HyperTerminal [Hypertrm.exe]   하이퍼터미널

System Information [Msinfo32.exe]   시스템 정보

Internet Backgammon [Bckgzm.exe]   주사위 놀이

System Restore [Rstrui.exe]    시스템 복원

Internet Checkers [Chkrzm.exe]   체커 온라인

Tour Windows XP [Tourstart.exe ]   XP의 새로운 기능을 경험해 보세요.

Internet Explorer [Iexplore.exe]   익스플로러

Utility Manager [Utilman.exe ]    유틸리티 관리자

Internet Hearts [Hrtzzm.exe]    하트 온라인

Windows Media Player [Wmplayer.exe ]   윈도우 미디어 플레이어

Internet Reversi [Rvsezm.exe]    리버시 온라인

Windows Messenger [Msmsgs.exe ]   MSN창모드

Internet Spades [Shvlzm.exe]    스페이드 온라인

Windows Movie Maker [Moviemk.exe ]   무비메이커

Magnifier [Magnify.exe]    윈도우 돋보기

Windows Update [Wupdmgr.exe ]   윈도우 업데이트

Minesweeper [Winmine.exe]    지뢰찾기

WordPad [Wordpad.exe ]    워드패드

MSN Explorer [Msn6.exe]    MSN 익스플로러

[dfrg.msc]     디스크 조각모음

[winver]      윈도우 정보

[explorer]     윈도우 탐색기

--------------------------------------------------------------------------------

▶ 제어판의 모듈실행 명령어

[Access.cpl]     내게필요한옵션

[Mmsys.cpl]     사운드 및 오디오 장치 등록정보

[Appwiz.cpl]     프로그램추가제거

[Nusrmgr.cpl]     사용자계정

[Desk.cpl]     디스플레이등록정보

[Nwc.cpl]      Client Service for NetWare

[Hdwwiz.cpl]     하드웨어추가마법사

[Odbccp32.cpl]     ODBC 데이터 원본 관리자

[Inetcpl.cpl]     인터넷등록정보

[Powercfg.cpl]     전원옵션등록정보

[Intl.cpl]      국가및언어옵션

[Sysdm.cpl]     시스템등록정보

[Joy.cpl]      게임컨트롤러 

[Telephon.cpl]     전화및모뎀옵션

[wscui.cpl]     보안센터

[control admintools ]    관리도구

[Ncpa.cpl]     네트워크 연결

[Main.cpl]     마우스 등록정보

[control keyboard]     키보드 등록정보

[control Folders]     폴더옵션

[mrt]      악성소프트웨어 제거도구


저작자표시 비영리

'Server' 카테고리의 다른 글

윈도우 CMD 명령어  (0) 2017.01.06
HTTP Method  (0) 2017.01.06
캐시 리미터 cache-control  (0) 2017.01.06
HTTP Error Code  (0) 2017.01.06
FTP vs NTFS  (0) 2017.01.06

+ Recent posts

티스토리툴바