2017. 1. 11. 14:58 DB 관련

WMIC를 이용한 분석

1. WMI(Windows Management Instrumentation)??WMI는 엔터프라이즈 네트워크에서 관리 정보를 액세스하고 공유하는표준을 만들기 위하여 Microsoft에서 구현한 것이다.

 

2. WMIC(Windows Management InstrumentationCommand-line)?WMI에 대한 간단한 명령줄 인터페이스를 제공하므로 WMI를 사용하여 Window를 실행하는 컴퓨터를 관리할 수 있다. Shell 및 유틸리티 명령과 상호 작용하여 한 컴퓨터부터 다수의 컴퓨터까지 원격으로 관리할 수 있으며, 관리 스크립팅을 통하여 자동화까지 가능하다. WMIC는 기본적으로Window XP 이상에서만 로드된다.

 

 

 

 

기본 명령어wmic : wmic를 실행시키는 명령어로써 프롬프트가 C:\ 에서wmic:root\cli로 바뀐다.exit : wmic를 종료시키는 명령어로써 프롬프트가 wmic:root\cli 에서 C:\로 바뀐다./? : wmic의 도움말 기능이다.

 

 

wmic 명령으로 컴퓨터s/n 확인하기

Ex) C:\>wmic bios get serialnumber

wmic 명령으로 메모리

확인

Ex) C:\>wmic memorychip get banklabel, capacity

wmic 명령으로 프로세스Core

확인

Ex) C:\>wmic path win32_processor get numberofcores, numberoflogicalprocessors, processorid

wmic 명령으로 프로세스시작(생성)시간

확인

Ex) C:\>wmic path win32_process get caption, processid, parentprocessid,creationdate

 

 

wmic 명령으로 공급업체의 세부사항 확인하기

Ex) C:\>wmic bios

wmic 명령으로 bootpartition 및 관련 데이터 확인하기

Ex) C:\>wmic bootconfig

wmic 명령으로 cdrom 및 모든 광학 디스크 확인하기

Ex) C:\>wmic cdrom

wmic 명령으로 설치된 cpu 속성 확인하기

Ex) C:\>wmic cpu

wmic 명령으로 시리얼 번호, 공급업체 이름, UUID 및 버전정보 확인하기

Ex) C:\>wmic csproduct

wmic 명령으로 모든 데스크탑 화면 설정 확인하기

Ex) C:\>wmic desktop

wmic 명령으로 모든 환경변수 확인하기

Ex) C:\>wmic environment

wmic 명령으로 메모리칩에 관한 포괄정인 정보 확인하기

Ex) C:\>wmic memorychip

wmic 명령으로 모든 가상 및 하드웨어의 상세한 정보 확인하기

Ex) C:\>wmic nic

wmic 명령으로 런타임 데이터 및 프로토콜 매개변수 어댑터 확인하기( 맥주소가 자주 쓰인다. )

Ex) C:\>wmic nicconfig

Ex) C:\>wmic nicconfig get macaddress,caption

wmic 명령으로 모든 로그온 세션의 통합 목록 확인하기

Ex) C:\>wmic logon

wmic 명령으로 OS관련정보 확인하기

Ex) C:\>wmic os

Ex) C:\>wmic os get encryptionlevel, debug,install date

wmic 명령으로 "run"이란 문자열을 갖는 레지스트리의 위치와 실행경로 및 시작목록의 관련 데이터 확인하기

Ex) C:\>wmic startup

wmic 명령으로 활성화 계정 유형 및 SID등 다양한 사용자 계정 관련 정보 확인하기

Ex) C:\>wmic useraccount

wmic 명령으로 다른 곳에 로드된 드라이버의 경로 및 이름 확인하기

Ex) C:\>wmic sysdriver

wmic 명령으로 패치관련 명령으로서 설치 가능한 업데이트 목록 뿐아니라 설치 날짜 및 설치 URL 제공 명령어

Ex) C:\>wmic qfe

wmic 명령으로 제어판의 프로그램 추가/제거 이상의 세부적인 설치된 모든 소프트웨어 목록 확인하기

Ex) C:\>wmic product

wmic 명령으로 page파일의 위치와 크기정보 확인하기

Ex) C:\>wmic pagefile

wmic 명령으로 크래시 덤프의 모든 유형에 대한 경로와 같은 메모리 덤프 정보 확인하기

Ex) C:\>wmic recoveros

wmic 명령으로 group 목록 확인하기

Ex) C:\>wmic group

wmic 명령으로 share 확인하기(숨겨진 share 포함)

Ex) C:\>wmic share

wmic 명령으로 서비스 확인하기

Ex) C:\>wmic service

wmic 명령으로 프로세스 확인하기

Ex) C:\>wmic process

Ex) C:\>wmic process list full (파싱 쉽게 나열된 정보 )

wmic 명령으로 이벤트 확인하기

Ex) C:\>wmic nteventlog

Ex) C:\>wmic nteventlog list full

 

3. WMIC를 이용한 악성코드 분석

 

프로세스 중 processid 가 536인 것을 찾는다.

C:\wmic process where processid=”536″

 

WMIC로 쿼리문 비슷한 문법이 사용가능하다.

따라서 조금더 자세한 정보를 얻기 위해 아래와 같이 약간의 필터를 첨가할 수 있다.

C:\wmic process where (processid=”536″ and name=”malware.exe”)

 

WIMC는 cmd의 커맨드 명령과 복합적으로 사용하면 더욱 강력한 필터를 할 수 있다.

C:\wmic process where (processid=”536″ and name=”malware.exe”) | find “32″

 

선택된 프로세스를 종료시킬 수도 있다.

C:\wmic process where name=”malware.exe” delete

 

위에서 언급한 list full 옵션을 이용하여 해당 프로세스 정보를 보기쉽게 나열할 수 있다.

C:\wmic process where name = “mal.exe” list full

 

 

해당 프로세스의 절대경로를 알 수 있다.

C:\wmic process where name= “mal.exe” get commandline

 

자식 프로세스가 메모리에 머물러 있거나, 새로운 프로세스의 실행을 유도할 수도 있기 때문에

부모 프로세스도 차단해댜 된다.

C:\wmic process where (name=”mal.exe” or parentprocessid=”246″) delete

 

해당 프로세스의 상세한 분석 위해 디버깅을 한다.

C:\wmic process where name = “mal.exe” call attachdebugger

 


4. WMIC를 대한 고찰

 

WMIC는 전반적으로 시스템 개요 및 BIOS / 하드웨어 관련 데이터와 같은 깊이 있는 정보를 많이 얻을 수 있는 도구이다. CMD는 일반적으로 가장 많이 사용되지만 빠른 검색 및 정렬에서 그 기능이 그친다. 이 CMD의 검색 기능과 WMIC의 깊이 있는 정보를 병합한다면 더욱 좋은 결과를 가져올 수 있을 것이다. 그리고 WMIC는 WIndow XP이상 버전에서는 기본적으로 탑재되 있으므로 모든 사용자를 대상으로 WMIC를 이용하여 프로그래밍을 할 수 있다.

[출처] WMIC를 이용한 분석|작성자 KaiEn

 

저작자표시 (새창열림)
Posted by jjblaid

2010. 8. 16. 16:46 DB 관련/Etc DB

SQL Server에 대한 AWE 메모리 활성화

이 기능은 다음 버전의 Microsoft SQL Server에서 제거됩니다. 새 개발 작업에서는 이 기능을 사용하지 말고, 현재 이 기능을 사용하는 응용 프로그램은 가능한 한 빨리 수정하십시오.

AWE(Address Windowing Extensions)를 사용하면 32비트 운영 체제에서 대량의 메모리에 액세스할 수 있습니다. AWE는 운영 체제에서 사용되며 구현 방식이 Microsoft Windows 2000 Server와 Windows Server 2003에서 약간의 차이가 있습니다. AWE는 awe enabled 옵션을 사용하여 설정됩니다.


Windows 2000 Server에서 AWE로 매핑된 메모리 사용

Windows 2000에서 실행하는 Microsoft SQL Server 인스턴스는 SQL Server 시작 중에 다음 조건에 따라 메모리를 할당합니다.

  • 사용 가능한 실제 메모리가 사용자 모드 가상 주소 공간보다 작은 경우 AWE를 활성화할 수 없습니다. 이 경우 SQL Server는 awe enabled 옵션 설정과 관계없이 AWE가 아닌 모드로 실행됩니다.
  • 사용 가능한 실제 메모리가 사용자 모드 가상 주소 공간보다 크면 AWE를 활성화할 수 있습니다.
    • 사용 가능한 실제 메모리가 max server memory 옵션의 값보다 클 경우 SQL Server 인스턴스는 max server memory에 지정된 만큼 메모리 양을 잠급니다.
    • 사용 가능한 실제 메모리가 max server memory 옵션의 값보다 작거나 max server memory 옵션이 설정되지 않은 경우 SQL Server 인스턴스는 256MB를 제외한 모든 사용 가능 메모리를 잠급니다.
  • 할당된 후에는 SQL Server를 종료하기 전까지 AWE로 매핑된 메모리를 해제할 수 없습니다.

메모리 옵션 구성

AWE를 활성화할 때마다 max server memory 값을 설정하는 것이 좋습니다. awe enabled가 1로 설정되고 사용 가능한 실제 메모리가 사용자 모드 프로세스 공간보다 큰 경우, Windows 2000에서 실행되는 SQL Server 인스턴스는 서버를 시작할 때 사용 가능한 거의 모든 메모리(또는 max server memory 옵션이 설정된 경우 해당 값)를 잠급니다. max server memory가 설정되지 않은 경우 다른 응용 프로그램이나 SQL Server 인스턴스의 사용 가능한 실제 메모리는 128MB보다 작아집니다.

AWE로 매핑된 메모리 풀은 페이징 시스템 파일로 스와핑할 수 없습니다. 사용할 수 있는 실제 메모리가 더 필요한 경우 Windows는 다른 응용 프로그램을 스와핑해야 하며 이 때 이러한 응용 프로그램의 성능이 저하될 수 있습니다.

다른 응용 프로그램의 성능 저하를 방지하려면 추가 메모리 여유 공간을 남기도록 max server memory를 구성하여 다른 응용 프로그램 및 운영 체제의 다양한 요구에 부응할 수 있도록 하십시오. 컴퓨터에서 사용할 다른 응용 프로그램들을 모두 시작한 후에 사용할 수 있는 메모리 양을 파악하여 SQL Server 인스턴스에 안전하게 할당할 수 있는 메모리 양을 결정할 수 있습니다.

ms190673.note(ko-kr,SQL.105).gif참고:
Windows 2000 Server의 경우 SQL Server AWE의 min server memory 설정이 무시됩니다.

SQL Server 성능 모니터의 Total Server Memory (KB) 카운터를 사용하여 AWE 모드로 실행되는 SQL Server 인스턴스에서 할당할 메모리 크기를 결정하거나 sysperfinfo에서 메모리 사용량을 선택하십시오.

자세한 내용은 메모리 사용 모니터링을 참조하십시오.

AWE를 사용하는 여러 개의 SQL Server 인스턴스 실행

Windows 2000에서 서버를 실행 중인 경우 각 인스턴스에 max server memory 설정이 필요합니다. Windows 2000 운영 체제에서 실행하는 SQL Server는 AWE로 매핑된 메모리의 동적 할당을 지원하지 않으므로 각 인스턴스에 대해 max server memory 옵션을 설정하는 것이 좋습니다.

모든 인스턴스에 대한 max server memory 값의 합계가 컴퓨터의 총 실제 메모리보다 작아야 합니다. 합계가 총 실제 메모리보다 큰 경우 일부 인스턴스가 시작되지 않거나 max server memory 설정에 지정한 것보다 작은 메모리에 액세스하게 됩니다. 예를 들어 컴퓨터의 실제 메모리가 16GB이고 설치된 SQL Server 인스턴스가 3개라고 가정합니다. 또한 max server memory가 각 인스턴스에 대해 8GB로 설정되어 있습니다. 세 인스턴스를 모두 중지하고 다시 시작할 경우 메모리 할당은 다음과 같습니다.

  1. 첫 번째 인스턴스는 8GB의 실제 메모리에 액세스합니다.
  2. 두 번째 인스턴스는 8GB보다 약간(최대 128MB까지) 작은 실제 메모리에 액세스하여 시작됩니다.
  3. 세 번째 인스턴스는 동적 메모리 모드에서 시작되며 256MB 이하의 실제 메모리에 액세스합니다.

자세한 내용은 큰 데이터베이스의 메모리 관리를 참조하십시오.


Windows Server 2003에서 AWE로 매핑된 메모리 사용

SQL Server는 Windows Server 2003에서 AWE 메모리의 동적 할당을 지원합니다. SQL Server는 시작 과정에서 AWE로 매핑된 메모리의 일부만 예약합니다. AWE로 매핑된 추가 메모리가 필요한 경우 운영 체제에서 동적으로 메모리를 SQL Server에 할당합니다. 마찬가지로 적은 리소스만 필요한 경우 SQL Server에서는 다른 프로세스나 응용 프로그램에서 사용할 수 있도록 AWE 매핑된 메모리를 운영 체제로 반환합니다. awe enabled 구성 옵션에 대한 자세한 내용은 awe enabled 옵션을 참조하십시오.

Windows Server 2003 제품군부터 지원하는 실제 메모리 양이 증가했습니다. 따라서 AWE에서 액세스할 수 있는 실제 메모리 양은 사용 중인 운영 체제에 따라 달라집니다. 다음 목록에서는 작성 시점을 기준으로 각각의 Windows Server 2003 운영 체제가 액세스할 수 있는 최대 실제 메모리를 보여 줍니다.

  • Windows Server 2003 Standard Edition에서는 실제 메모리를 4GB까지 지원합니다.
  • Windows Server 2003 Enterprise Edition에서는 실제 메모리를 32GB까지 지원합니다.
  • Windows Server 2003 Datacenter Edition에서는 실제 메모리를 64GB까지 지원합니다.

메모리 옵션 구성

SQL Server는 Windows Server 2003 운영 체제의 모든 버전에서 실행할 때 AWE로 매핑된 메모리를 동적으로 할당합니다. 따라서 버퍼 풀이 AWE로 매핑된 메모리를 동적으로 관리하여(min server memory 및 max server memory 옵션의 제약을 받음) 전체 시스템 요구 사항에 따라 SQL Server 메모리 사용량을 조절할 수 있습니다.

AWE가 설정되면 SQL Server는 항상 AWE로 매핑된 메모리를 사용하려고 시도합니다. 이는 응용 프로그램에 3GB 미만의 사용자 모드 주소 공간을 제공하도록 구성된 컴퓨터를 포함하여 모든 메모리 구성에 적용됩니다.

  • Windows Server 2003에서 실행하는 SQL Server의 기본 메모리 모드로 AWE를 설정하는 것이 좋습니다. Hot Add 메모리 기능을 사용하려면 SQL Server 시작 과정에서 AWE를 설정해야 합니다. 자세한 내용은 Hot Add 메모리을 참조하십시오.
ms190673.note(ko-kr,SQL.105).gif참고:
AWE는 필요하지 않으며 64비트 운영 체제에서 구성할 수 없습니다.

  • AWE로 매핑된 메모리는 3GB 미만까지만 지원되므로 min server memory 및 max server memory 값을 실제 메모리 범위 내에서 정의하거나 두 옵션의 기본값을 사용하십시오.
  • 컴퓨터에서 실행되는 다른 응용 프로그램에 대한 추가 메모리를 보장하기 위해 SQL Server에 대한 max server memory를 설정할 수도 있습니다. SQL Server는 AWE로 매핑된 메모리를 동적으로 해제할 수 있지만 현재 할당된 AWE로 매핑된 메모리 양을 페이징 파일로 스와핑할 수는 없습니다.

SQL Server 인스턴스에서 AWE를 사용하려면 sp_configure를 사용하여 awe enabled 옵션을 1로 설정한 다음 SQL Server를 다시 시작하십시오.

min server memory와 max server memory에 대한 자세한 내용은 서버 메모리 옵션을 참조하십시오.

AWE를 설정하기 전에 Lock Pages in Memory 정책을 구성해야 합니다. 자세한 내용은 방법: Lock Pages in Memory 옵션 설정(Windows)을 참조하십시오.

다음 예에서는 AWE를 활성화하고 min server memory 제한을 1GB로, max server memory 제한을 6GB로 구성하는 방법을 보여 줍니다.

먼저 AWE를 구성합니다.

sp_configure 'show advanced options', 1
RECONFIGURE
GO

sp_configure 'awe enabled', 1
RECONFIGURE
GO

SQL Server를 다시 시작한 후 SQL Server 오류 로그에 다음 메시지가 기록됩니다. "Address Windowing Extensions이 설정되어 있습니다."

다음으로 메모리를 구성합니다.

sp_configure 'min server memory', 1024
RECONFIGURE
GO

sp_configure 'max server memory', 6144
RECONFIGURE
GO

이 예에서는 버퍼 풀이 AWE로 매핑된 메모리를 1GB에서 6GB 사이에서 동적으로 할당하도록 메모리를 설정합니다. 다른 응용 프로그램에 추가 메모리가 필요한 경우 SQL Server에서 필요하지 않은 AWE로 매핑된 할당 메모리를 해제할 수 있습니다. 이 예에서는 AWE로 매핑된 메모리를 최대 1GB까지만 해제할 수 있습니다.

Hot Add 메모리를 지원하는 컴퓨터에 메모리가 추가된 경우 SQL Server에서 동적 AWE 메모리를 통해 메모리를 늘릴 수도 있습니다. Windows Server 2003 3, Enterprise 및 Datacenter Edition에서 사용 가능한 Hot Add 메모리를 통해 컴퓨터를 실행하는 동안 메모리를 추가할 수 있습니다. 예를 들어 Windows Server 2003 Enterprise Edition에서 실행되는 SQL Server를 실제 메모리가 16GB인 컴퓨터에서 시작한다고 가정합니다. 운영 체제는 응용 프로그램의 가상 메모리 주소 공간을 2GB로 제한하도록 구성되고 SQL Server에서 AWE가 활성화됩니다. 이후 시스템 관리자가 컴퓨터를 실행하는 동안 16GB의 메모리를 추가하면 SQL Server는 즉시 추가 메모리를 인식하고 필요한 경우 이를 활용합니다.

AWE를 사용하는 방법은 Windows Server 2003 설명서를 참조하십시오.

AWE를 사용하는 여러 개의 SQL Server 인스턴스 실행

같은 컴퓨터에서 여러 개의 SQL Server 인스턴스를 실행 중이며 각 인스턴스가 AWE로 매핑된 메모리를 사용하는 경우 인스턴스가 예상대로 작동하는지 확인해야 합니다.

서버에서 Windows Server 2003을 실행하는 경우 각 인스턴스에 min server memory 설정이 필요합니다. Windows Server 2003에서 실행하는 SQL Server는 AWE로 매핑된 메모리의 동적 관리를 지원하므로 각 인스턴스에 대해 min server memory옵션을 설정하는 것이 좋습니다. AWE로 매핑된 메모리는 페이징 파일로 스와핑할 수 없으므로 모든 인스턴스에 대한 min server memory 값의 합계가 컴퓨터의 총 실제 메모리보다 작아야 합니다.

min server memory 옵션을 설정해도 SQL Server가 시작 시 최소 메모리를 확보하지는 않습니다. 메모리는 데이터베이스 작업을 기준으로 필요에 따라 할당됩니다. 그러나 min server memory 임계값에 도달한 후에는 SQL Server의 메모리 크기가 이보다 작은 경우 SQL Server가 메모리를 해제하지 않습니다. 각 인스턴스에 최소한 min server memory 값과 같은 메모리를 할당하기 위해 시작 직후 데이터베이스 서버 로드를 실행하는 것이 좋습니다. 일상적인 서버 작업 중에는 인스턴스별로 사용 가능한 메모리가 달라지지만 각 인스턴스에 설정된 min server memory 값보다 작아지지는 않습니다.

max server memory를 설정하거나 이 옵션의 기본 설정을 유지할 수 있습니다. max server memory를 기본값으로 유지하면 SQL Server 인스턴스 간 메모리 확보 경쟁이 생길 수 있습니다.


AWE와 장애 조치(Failover) 클러스터링 사용

SQL Server 장애 조치 클러스터링 및 AWE 메모리를 사용할 경우 모든 인스턴스에 대한 max server memory 설정의 합계가 장애 조치 클러스터의 서버에서 사용 가능한 최소 실제 메모리보다 작은지 확인해야 합니다. 원본 노드보다 장애 조치 노드의 실제 메모리가 작으면 SQL Server 인스턴스를 시작할 수 없거나 원본 노드에서 가졌던 메모리보다 작은 메모리를 가지고 시작하게 됩니다.


AWE 사용

이 기능은 다음 버전의 Microsoft SQL Server에서 제거됩니다. 새 개발 작업에서는 이 기능을 사용하지 말고, 현재 이 기능을 사용하는 응용 프로그램은 가능한 한 빨리 수정하십시오.

SQL Server에서는 많은 양의 실제 메모리를 지원하기 위해 Microsoft Windows AWE(Address Windowing Extensions) API를 사용합니다. SQL Server에서는 Microsoft Windows 2000 Server 및 Microsoft Windows Server 2003의 메모리를 최대 64GB까지 액세스할 수 있습니다.

ms175581.note(ko-kr,SQL.105).gif참고:
AWE는 SQL Server Enterprise, Standard 및 Developer Edition에서만 지원되며 32비트 버전의 SQL Server에만 적용됩니다. Analysis Services에서는 AWE로 매핑된 메모리를 이용할 수 없습니다. 사용할 수 있는 실제 메모리가 사용자 모드 가상 주소 공간보다 적으면 AWE를 사용할 수 없습니다.

표준 32비트 주소는 최대 4GB의 메모리를 매핑할 수 있습니다. 따라서 32비트 프로세스의 표준 주소 공간은 4GB로 제한됩니다. 기본적으로 32비트 Microsoft Windows 운영 체제에서 2GB는 운영 체제용으로 예약되고 2GB를 응용 프로그램에서 사용할 수 있습니다. Windows 2000 Advanced Server의 Boot.ini 파일에서 /3gb 매개 변수를 지정하면 운영 체제에서 주소 공간으로 1GB만 예약되므로 응용 프로그램은 최대 3GB까지 액세스할 수 있습니다. /3gb 매개 변수에 대한 자세한 내용은 프로세스 주소 공간을 참조하십시오.

AWE는 응용 프로그램에서 표준 32비트 주소 지정을 통해 사용할 수 있는 2-3GB보다 많은 메모리의 주소를 지정할 수 있도록 하는 Windows의 메모리 관리 기능에 대한 확장 집합입니다. AWE를 사용하면 응용 프로그램이 실제 메모리를 확보한 다음 페이지되지 않은 메모리의 뷰를 32비트 주소 공간에 동적으로 매핑할 수 있습니다. 32비트 주소 공간은 4GB로 제한되지만 비페이징 메모리는 훨씬 더 커질 수 있습니다. 이를 통해 대형 데이터베이스 시스템과 같이 메모리를 많이 사용하는 응용 프로그램은 32비트 주소 공간에서 지원될 수 있는 것보다 많은 메모리의 주소를 지정할 수 있습니다.

AWE를 사용하도록 운영 체제를 구성하기 전에 다음 사항을 고려하십시오.

  • AWE를 사용하면 32비트 아키텍처에 4GB 이상의 실제 메모리를 할당할 수 있습니다. AWE는 사용 가능한 실제 메모리가 사용자 모드 가상 주소 공간보다 큰 경우에만 사용해야 합니다.
  • 32비트 운영 체제에서 4GB 이상의 실제 메모리를 지원하려면 /pae 매개 변수를 Boot.ini 파일에 추가하고 컴퓨터를 다시 부팅해야 합니다. 자세한 내용은 Windows 설명서를 참조하십시오.
    ms175581.note(ko-kr,SQL.105).gif참고:
    Windows Server 2003에서 PAE는 서버가 Hot Add 메모리 장치를 사용하는 경우에만 자동으로 설정됩니다. 이 경우 Hot Add 메모리 장치를 사용하도록 구성된 시스템에서 /pae 매개 변수를 사용하지 않아도 됩니다. 다른 모든 경우에서 4GB가 넘는 메모리를 이용하려면 Boot.ini 파일의 /pae 매개 변수를 사용해야 합니다.

  • 컴퓨터에서 16GB 이상의 실제 메모리를 사용할 수 있으면 운영 체제에 시스템용으로 2GB의 가상 주소 공간이 필요하므로 2GB의 사용자 모드 가상 주소 공간만 지원할 수 있습니다. 운영 체제에서 16GB를 초과하는 메모리 범위를 사용할 수 있도록 하려면 Boot.ini 파일에 /3gb 매개 변수가 포함되지 않아야 합니다. 이 매개 변수가 지정되어 있으면 운영 체제에서 16GB를 초과하는 실제 메모리를 사용할 수 없습니다.
ms175581.note(ko-kr,SQL.105).gif참고:
SQL Server 버퍼 풀에서는 AWE로 매핑된 메모리를 모두 활용할 수 있지만 데이터베이스 페이지만 SQL Server의 가상 주소 공간에 동적으로 매핑하거나 매핑을 해제할 수 있으며 AWE를 통해 할당된 메모리를 완전히 활용할 수 있습니다. AWE는 가상 주소 공간에 영구적으로 존재하는 다른 개체, 추가 사용자, 스레드, 데이터베이스 및 쿼리를 직접 지원하지 않습니다.

최대 서버 메모리 값 목록은 메모리 아키텍처의 표를 참조하십시오.


큰 데이터베이스의 메모리 관리

SQL Server는 큰 크기의 물리적 메모리를 지원하기 위해 AWE(Address Windowing Extensions) API를 사용합니다. SQL Server는 32비트 Microsoft Windows 운영 체제인 Microsoft Windows XP Professional; Windows 2000 Standard Edition; Windows 2000 Advanced Server; Windows 2000 Datacenter Server; Windows Server 2003, Enterprise Edition 또는 Windows Server 2003, Datacenter Edition에서 최대 64GB의 물리적 메모리를 지원합니다.

SQL Server는 Windows Server 2003 운영 체제의 모든 버전에서 실행할 때 AWE로 매핑된 메모리를 동적으로 할당합니다. 다시 말해 버퍼 풀이 AWE로 매핑된 메모리를 동적으로 관리하여 전체 시스템 요구 사항에 맞추어 SQL Server 메모리 사용을 조절할 수 있습니다.

AWE는 액세스 가능한 프로세스 주소 공간이 4GB로 제한되는 32비트 응용 프로그램의 한계를 해결합니다. 32비트 포인터는 4GB를 초과하는 메모리 주소를 가리킬 수 없습니다.

AWE를 사용하면 응용 프로그램은 비페이지 메모리로 운영 체제가 허용하는 최대 물리적 메모리를 직접 예약할 수 있습니다. 또한 SQL Server는 디스크의 시스템 페이징 파일에서 정보를 읽는 대신 더 많은 정보를 캐싱할 수 있습니다. 이로 인해 데이터 액세스가 더 빨라지고 디스크 액세스 빈도가 감소되어 성능이 점차 향상됩니다.

ms191481.note(ko-kr,SQL.105).gif참고:
64비트 응용 프로그램은 메모리 액세스가 4GB로 제한되지 않기 때문에 AWE를 필요로 하지 않습니다.

AWE API에 대한 자세한 내용을 보려면 MSDN 웹 사이트를 방문하여 "Address Windowing Extensions" 용어를 검색하십시오.

SQL Server에서 NUMA(Non-Uniform Memory Access)를 사용하는 방법은 NUMA(Non-Uniform Memory Access) 이해를 참조하십시오.

저작자표시 (새창열림)
Posted by jjblaid

2010. 8. 16. 16:41 DB 관련/Etc DB

미러링 모니터링 성능 카운터

미러링 모니터링 성능 카운터

2009/06/25 22:28 from MS-SQL Server

현재까지 어떻게 하는 것이 제일 좋은지 확인 되지 않았지만 아래 정보 정도는 확인해야 하지 않나 생각 됩니다.

Log Bytes Sent/sec => LogBytesSent

초당 보낸 로그 바이트 수입니다.

 

Log Harden Time (ms) => LogHardenTime

마지막 1초 동안 로그 블록이 디스크에 확정될 때까지 기다린 시간(밀리초)입니다.

 

Log Send Queue KB => LogSendQueue

미러 서버로 아직 보내지 않은 로그의 총 KB 수입니다.

 

Log Send Flow Control Time (ms) => LogSendControlTime

마지막 1초 동안 로그 스트림 메시지가 전송 흐름 제어를 기다린 시간(밀리초)입니다.

로그 데이터와 메타데이터를 미러링 파트너로 보내는 것은 데이터베이스 미러링에서 가장 데이터를 많이 사용하는 작업이며 데이터베이스 미러링 및 Service Broker 송신 버퍼를 독점할 수 있습니다. 이 카운터를 사용하여 데이터베이스 미러링 세션별로 이 버퍼의 사용을 모니터링할 수 있습니다.

 

Mirrored Write Transactions/sec => MirroredWriteTransactions

마지막 1초 동안 미러된 데이터베이스에 썼으며 커밋을 위해 로그가 미러로 전송될 때까지 기다린 트랜잭션 수입니다.

이 카운터는 주 서버가 로그 레코드를 미러 서버로 보내는 경우에만 증가됩니다.

 

Pages Sent/sec => PagesSent

초당 보낸 페이지 수입니다.

 

Send/Receive Ack Time => ReceiveAckTime

마지막 1초 동안 메시지가 파트너의 승인을 기다린 시간(밀리초)입니다.

이 카운터는 설명이 없는 장애 조치, Send Queue 또는 긴 트랜잭션 대기 시간과 같이 네트워크 병목 상태로 인해 발생할 수 있는 문제를 해결하는 데 도움이 됩니다. 이러한 경우 이 카운터의 값을 분석하여 네트워크에서 문제를 일으키는지 여부를 확인할 수 있습니다.

 

Sends/sec => MessageSends

초당 보낸 미러링 메시지 수입니다.

 

Transaction Delay => TransactionDelay

종료되지 않은 커밋 승인을 기다리는 지연 시간입니다.

저작자표시 (새창열림)
Posted by jjblaid

2009. 9. 30. 11:18 DB 관련/MSSQL

SQL Injectin 공격 방어를 위한 DB 설정 변경


SQL Injection 공격이 여전히 활발하게 들어오고 있습니다. 최근에는 MSSQL이건 Oracle이건 가리지 않는 속성을 보여주더군요. 요즘의 SQL Injection공격은 DB를 변조하는 방식으로 진행되었지만, 아직도 일부 SQL Injection 공격은 여전히 시스템 장악을 목적으로 사용됩니다. 가장 대표적인 공격이 바로 xp_cmdshell 이겠지요.

xp_cmdshell와 같은 명령어는 잘쓰면 좋지만, 아무나 사용할 수 있다면 최악의 상황으로 이어질 수 있습니다.

type c:\boot.ini 대신에 del c:\boot.ini를 했다면?

 이러한 공격을 막는 방법으로 서버에 도달하기 이전에 웹방화벽에서 필터링을 하고, 웹소스 레벨에서 필터링을 하고, DB에서 적절한 권한 부여라는 모든 단계를 거치는 것이 좋습니다. 이 방법을 모두 동원할 수 없다 할지라도, 적어도 두개 이상의 방법을 선택하여 진행하여야 안전하다고 할 수 있습니다.

  • 웹방화벽이 완벽을 말할 수 없는 이유는 학습하는데 걸리는 시간이 있기 때문이며(WebKnight와 같이 지능형 장비가 아닌 경우는 패턴 추가하기 전까지는 답이 없습니다),
  • 웹소스 레벨의 필터링은 개발자의 실수가 있을 수 있기 때문이며,
  • DB에서의 권한 부여는 기본값 그대로 쓰기에는 충분히 위험하기 때문입니다.

 위에 나열한 3가지 필터링할 수 있는 부분 중에서 어느 한 곳만이라도 확실히 막기만 한다면, 웹 취약점을 이용한 공격은 생각보다 많이 막을 수 있습니다, 그 중에서 DB의 권한 제어를 위해 금지 또는 조심해야 할 확장 프로시저는 다음과 같은 형식으로 제어할 수 있습니다.

USE master
DENY  EXECUTE  ON [master].[dbo].[xp_availablemedia] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_dirtree] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_fileexist] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_fixeddrives] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_getfiledetails] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regaddmultistring] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regdeletekey] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regdeletevalue] TO [guest] CASCADE 
DENY  EXECUTE  ON [master].[dbo].[xp_regread] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regremovemultistring] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regwrite] TO [guest] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_subdirs] TO [guest] CASCADE

DENY  EXECUTE  ON [master].[dbo].[xp_availablemedia] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_dirtree] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_fileexist] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_fixeddrives] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_getfiledetails] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regaddmultistring] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regdeletekey] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regdeletevalue] TO [public] CASCADE 
DENY  EXECUTE  ON [master].[dbo].[xp_regread] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regremovemultistring] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_regwrite] TO [public] CASCADE
DENY  EXECUTE  ON [master].[dbo].[xp_subdirs] TO [public] CASCADE

USE msdb
REVOKE ALL ON dbo.mswebtasks FROM public
REVOKE EXECUTE ON sp_add_job FROM public
REVOKE EXECUTE ON sp_add_jobserver FROM public
REVOKE EXECUTE ON sp_add_jobstep FROM public
REVOKE EXECUTE ON sp_enum_dtspackages FROM public
REVOKE EXECUTE ON sp_get_dtspackage FROM public
REVOKE EXECUTE ON sp_get_sqlagent_properties FROM public
REVOKE EXECUTE ON sp_start_job FROM public

 위에 있는 쿼리는 SQL 서버에 쿼리 분석기로 연결한 후 한번 실행해주면 간단하게 할 수 있는 부분입니다만, 실제 서버에 바로 적용하면 돌이킬수 없는 상황이 되버릴 수도 있습니다. 특히 스케줄 부분에 대한 확장 프로시저를 건드리기 때문에 복잡한 구성을 가진 SQL 서버라면 적용시 장애로 이어질 수도 있습니다.

 더구나, 위에 있는 쿼리를 실행한다고 해서 서버가 완벽하게 보호되는건 아닙니다. SELECT 나 UPDATE 같은 쿼리를 통해서 DB의 내용 자체를 변조하는 공격을 막을 수는 없기 때문입니다.

[출처]http://www.ntfaq.co.kr/4307

저작자표시 (새창열림)
Posted by jjblaid
이전버튼 1 이전버튼
블로그 이미지
jjblaid

태그목록

공지사항

Yesterday
Today
Total

달력

 « |  » 2025.6
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30

최근에 올라온 글

최근에 달린 댓글

글 보관함

티스토리툴바