C/C++로 풀어보는 윈도우 구조

영어 공부할 때 단순 암기가 아닌 원리를 이해하는 방법으로 프로그램 개발과 분석을 공부합니다.

Read More

Server Log Collector

You can get easy and powerful control host system by Server Log Collector. Check light now.

Read More

DNSClush

Analyze malware visit user and Achive DNS log. And it's help collect to central log.

Read More

부팅의 시작 – MBR 이해

MBR(Master Boot Record)는 운영체제가 부팅 할 때POST(Power on Self-Test)과정을 마친후 저장매체의 첫 번째 섹터를 호출을 시도하는데, 이 때 MBR이 존재한다면, MBR의 부트 코드가 수행되게 된다.   [그림]MBR이 존재하지 않으면, 부팅 에러가 발생한다   부트 코드의 역할은 파티션 테이블에서 부팅 가능한 파티션을 찾아, 해당 파티션의 부트 섹터를 호출해 주는 역할을 한다. 부팅 가능한 파티션이 없을 경우

Read More

Windows Startup Process 정리

  이표는 시스템이 전원이 들어와 운도우 운영체제로 부팅을 진행하여, 사용자가 로그인 할 수 있는 GINA화면을 표시하기까지의 과정을 순차적으로 표시한 것이다.   no 프로세스 타입 설명 1 MBR 16bit real mode Boot Sector를 로드 2 Boot Sector 16bit real mode root directory를 읽어 ntldr 로드 3 NTLDR 32/64bit protected mode boot.ini 를 읽어 운영체제를 선택할수 있게

Read More

Windows 실시간 커널 디버깅 – Windbg

실시간 커널 디버깅을 위해서는 별도의 머신이 필요하다. 이를 물리적으로 구성하는것도 좋지만, 설정 및 관리가 쉽지 않아, 대체로 요즘 많이 사용되는 가상화 머신을 이용하여 구성 하는 경우가 많다. 그럼 먼저 용어에 대해 알아보자. 실시간 커널 디버깅은 운영체제에 문제가 발생하였을 때 문제가 되는 머신(TARGET)을 디버깅 모드로 설정후 COM포트를 이용하여 HOST와 연결, 분석을 실시간으로 진행하는데, 그 머신에 대한

Read More

Windows 실시간 커널 디버깅 – Windbg

실시간 커널 디버깅을 위해서는 별도의 머신이 필요하다. 이를 물리적으로 구성하는것도 좋지만, 설정 및 관리가 쉽지 않아, 대체로 요즘 많이 사용되는 가상화 머신을 이용하여 구성 하는 경우가 많다. 그럼 먼저 용어에 대해 알아보자. 실시간 커널 디버깅은 운영체제에 문제가 발생하였을 때 문제가 되는 머신(TARGET)을 디버깅 모드로 설정후 COM포트를 이용하여 HOST와 연결, 분석을 실시간으로 진행하는데, 그 머신에 대한

Read More

Windows 유저모드와 커널모드

Windows 유저모드와 커널모드 Windows 아키텍처를 애기하면, 제일 먼저 떠오르는 건 앞에서 말했듯 유저 모드와 커널모드이다. 이를 간단히 구조화 하면 아래그림과 같다. 미리 애기하지만, 이 그림에는 많은 것이 간략화 되어 있어, 모든것이 나타나 있지는 않다. 아래 그림은 TechNet에 공개된 Windows 2000시절의 구조이지만, Windows 2008에서 구조와 크게 다르지 않는다. 최신 Windows Internal 5판의 97페이지를 보면 보다 자세한

Read More

WordPress bypass Google Authenticator plugin

WordPress bypass Google Authenticator plugin We use Google Authenticator often to configure OTP for WordPress security. However, you may not be able to log in with the “Authenticator code is incorrect or has expired” message because you did not have the time or the Google Authenticator code you used for security. I’ll show you how

Read More

Window Eventlog 실시간 메일 전송하기

다음으로 진행할 내용은 계정 로그인에 대한 감시이다. 감시영역에서 기본이면서 제일 중요한 부분이다. 로그인 하지 않은 상태에서도, 시스템 취약점이 있어, 자료가 유출되거나 변조될수 있는데, 시스템에 로그인 하였다면, 서버 전체를 내주는것과 마찬가지라 볼 수 있다. 따라서 계정관리는 그만큼 중요하며, 로그인에 대한 감시는 기본적으로 선행 되어야 한다. 로그인 감시는 여러가지를 이용하여 구현할 수 있는데, 가장 대표적인 방식으로 보안

Read More

Elasticsearch – Index Delete, disk full, can’t gathering data on some node

If you cluster Elasticsearch. When can indexing some node data before disk full, unplaned reboot. However, you must delete last index.   If you have Kibana just use DELETE /logstash-<lastdate> or /<some problem index name>   OR You haven’t any UI, You can use CLI command,   curl -XDELETE ‘localhost:9200/logstash-<lastdate> or /<some problem index name>

Read More

Regripper – Windows Forensic Registry

Regripper는 “Windows Forensic Analysis”의 저자인 ‘할렌 카비’가 펄로 작성한 레지스트리 분석기로써, 레지스트리에서 필요한 정보들을 자동으로 추출하여 준다. CLI버전(rip.exe)과 GUI버전(rr.exe)를 제공하며, http://regripper.wordpress.com/ 에서 관련 자료를 확인할 수 있다. 레지스트리의 분석을 하는데 많은 도움이 되며, 수작업으로 분석할 필요없이 레지스트리 하이브 파일을 입력하고, 유형을 선택하면 해당 하이브 파일에서 유용한 정보들을 텍스트로 작성하여 준다.   [그림] Regrepper GUI툴로 이용하여

Read More

Kernel Memory Space Analyzer(kanalyze)

Microsoft에서 제공하는 메모리 분석 툴로써 volatillity와 성격이 다른 도구로써, 장애 상황시 이를 이용하여 커널 메모리 덤프를 효과적으로 분석할 수 있도록 도와준다. 단 kanalyze는 비스타 이상 버전에서는 사용할 수 없다. 해당 도구를 아래 위치에서 다운로드 가능하다. http://www.microsoft.com/download/en/details.aspx?id=15877   이툴을 사용하기 위해서는 Debugging Tools for Windows 6.5.3.8 32-bit버전(http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe) 을 먼저 설치하고 Windbg 설치 디렉토리에 Kanalyze를 붙여넣도록 하자.(이

Read More