본문 바로가기
운영체제 (LNX,WIN)

윈도우7 사용자 계정(SID)과 레지스트리

by 날으는물고기 2014. 5. 9.

윈도우7 사용자 계정(SID)과 레지스트리

C:\Documents and Settings\Administrator>whoami /user

사용자 정보
----------------

사용자 이름               SID
========================= ============================================

test\administrator S-1-5-21-492071019-2925002615-2793575378-500


위의 시스템의 SID를 보면 "S-1-5-21-492071019-2925002615-2793575378-500" 인 것을 알 수 있다. 각각의 항목이 의미하는 바는 다음과 같다.
- S-1 : 해당 시스템이 윈도우이다.
- 5-21 : 시스템이 도메인 컨트롤러 이거나 단독 시스템(stand-alone system)이다.
- 492071019-2925002615-2793575378 : 시스템의 고유한 숫자
- 500 : 사용자별 숫자로 표현되는 고유한 ID. Administrator 계정은 500, Guest는 501, 일반 사용자는 1000번 이상의 숫자를 갖는다.


위에서 설명한 SID를 사용하여 윈도우의 사용자 계정을 목록화 하기 위해서는 user2sid와 sid2user라는 유틸리티를 사용한다. 먼저 user2sid 명령어를 이용하여 해당 시스템의 SID를 구해낸다.(물론 계정 정보 최소 1개는 알고 있어야 하며 주로 사용되는 administrator를 이용하여 SID를 얻어 보았다.)


C:\Documents and Settings\Geek>user2sid \\192.168.0.xx administrator

S-1-5-21-492071019-2925002615-xxxxxxxxxx-500

Number of subauthorities is 5
Domain is SOL-FILESVR
Length of SID in memory is 28 bytes

Type of SID is SidTypeUser


위와 같이 해당 시스템에 대한 SID를 쉽게 획득할 수 있다. 여기서 얻은 SID를 이용하여 sid2user 명령어를 이용 사용자 계정에 대한 목록화가 가능하다. sid2user 명령어를 이용하여 위에서 얻은 SID 값의 일반 계정 값을 변경해 보면서 계정 추측이 가능하다.


C:\Documents and Settings\Geek>sid2user \\192.168.0.xx 5 21 492071019 292500261 xxxxxxxxxx 1010

Name is geek
Domain is SOL-FILESVR
Type of SID is SidTypeUser

C:\Documents and Settings\Geek>sid2user \\192.168.0.xx 5 21 492071019 292500261 xxxxxxxxxx 1004

Name is abc
Domain is SOL-FILESVR

Type of SID is SidTypeUser


sid2user를 실행한 결과와 같이 사용자 ID 1010에 해당하는 geek라는 계정과 1004에 해당하는 abc라는 계정이 있는 것을 알 수 있으며 계속적인 숫자 대입을 통해 사용자 목록화가 가능하다.


레지스트리의 사용자 설정


사용자 설정이 되어 있는 레지스트리 키는
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

 

S-1-5-18 - 시스템 프로필(system profile)
S-1-5-19 - 로컬 서비스(Local Service)
S-1-5-20 - 네트워크 서비스(Network Service)
오른 쪽 창에는 Flags, ProfileImagePath, State 라는 세 가지 값을 가지고 있습니다.

 

S-1-5-21 로 시작하는 프로필은 컴퓨터 사용자가 만든 계정들입니다.
S-1-5-21-xxxxxxxxxx-xxxxxxx-xxxxxxxx-1000
1000 이상으로 시작되는 계정들이 user 권한을 갖는 계정 들이고, 500 이 administrator 계정입니다.
마찬가지로 오른 쪽 창에는 Flags, ProfileImagePath, State 라는 세 가지 값을 가지고 있습니다

 

만약 오른쪽 창에 Flags, ProfileImagePath, State 키를 가지고 있지 않는 키가 있다면 문제가 있는 계정이므로
제어판의 계정과 비교한 후 삭제를 하셔도 됩니다.


 

 

 출처 : sinun.tistory.com, sungtg.tistory.com


728x90
저작자표시 비영리 변경금지

관련글

댓글

티스토리툴바