WHORUDB

It’s best performance tool and monitoring/logging to Database query easily.

Read More

Server Log Collector

You can get easy and powerful control host system by Server Log Collector. Check light now.

Read More

DNSClush

Analyze malware visit user and Achive DNS log. And it's help collect to central log.

Read More

Part 1 install Elasticsearch 6 0 cluster with logstash for centralized syslog

Step.1 check to ip address for connect to ssh

  Step.2 Install java and apply evn

  Step.3 Elasticsearch Install  

  Step.4 Add to service base  

  Step.5 Configuration for Elasticsearch

  you need to enable parameter below list  

  add to host and IP

Read More

The basics of program analysis – PE file format, DOS, NT, Section Header by PEBrowse

In the past, as the programmer of reverse engineering, malware, such as viruses and now nuclear tools emerged as their incessant, security/ending point was such important areas. In this case, public security personnel need analysis technology is one of the most fundamental understanding in a structure called the PE Header information from a file, made

Read More

Secure DNS Server 9.9.9.9 – Check to IBM X-Force’s threat intelligence database.

Chrome off infection sites, but not in chromium should be used. If using another application or Web browser you may not be protected from malicious sites…. If you don’t want your computer to be infected, it’s also a method of using 9.9.9.9 DNS. 9.9.9.9 is The Quad9 DNS service,  It’s checks  IBM X-Force’s threat intelligence

Read More

윈도우 계정 패스워드 보호 – pwddump Ophcarck

앞 SAM에서 애기하였지만 윈도우에서는 패스워드를 LM Hash와 NT Hash로 SAM파일에 보관하게 된다. 해당 정보는 윈도우를 실행하고 있는 상황에서는 일반적으로 확인할 수 없도록되어 있다. 여기서 해당 정보를 확인하고 계정의 패스워드를 확인하는 방법과 보호하는 방법을 알아보자. 만약 여러분이 계정의 패스워드를 잃어 버렸을 경우 가장 간편한 방법은 윈도우PE 시디를 이용하거나 다른 드라이브에 별도의 운영체제로 부팅을 통해 기존 드라이브의

Read More

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER)

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER) SAM 레지스트리에서 사용자 계정들은 어떻게 만들어지고, 관리되는 것일까? 윈도우에 계정을 생성하면 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username%\이 생성되면서 아래에 생성한 유저이름으로 키가 추가된다. 이때 계정은 고유한 8자리값(RID)을 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 아래 가지게 되는데, 윈도우 설치기 기본적인 계정(빌드인 계정)은 10진수 500부터 시작하며, 생성한 계정들은 1000이상의 값을 가지게 된다. [그림]8자리 값을 가지며, 2개의 빌드인 계정이 존재

Read More

NT 날짜 방식 계산

NT 날짜를 저장하는 방식은 1601년을 기준으로 현재 시간을 초단위로 나타난 것이 된다. (실제 값은 초단위 보다 더 세부적으로 나눈다.) 단위는 다음과 같다. 10,000,000 = 1초 6A AA AE DO 6A C7 CC 01를 계산하면 129697750868470378이 나오며 이 값을 1601년 1월 1일 0시 0분 0초을 기준으로 계산하면 된다. 이러한 계산을 쉽게 도와주는 툴도 여렷 존재한다. [그림]

Read More

Active directory 머신 SID 찾기, 변경하기 – Psgetsid, Newsid, Sysprep

우리는 Active directory라는 도메인 환경 운영체제에 대해 알고 있다. 이때도 SID를 이용하여 고유한 머신을 구분하게 된다.(즉 동일 도메인에서는 중복되는 SID를 사용하여서는 않된다.) 따라서 Active directory 가입시 단순 클론식의 복제를 할 경우 SID가 동일 하여 문제가 발생 하게 된다. 그럼 이 머신의 SID는 어디 있는것일까? 바로 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\V 값중 마지막 12 바이트를 통해 값을 확인 할 수

Read More

윈도우 보안 관리자 Lsass.exe(Local Security Authority Subsystem Service) – SRM(Security Reference Monitor), LSA(Local Security Authority)

Local Security Authority Subsystem Service의 약자로, 줄여서 LSA(Local Security Authority)라고도 하며, 사용 인증과 관련하여 밀접한 관련이 있다. %Systemroot%\System32\Lsass.exe로 실행되는 유저모드 프로세스로써, 로컬 시스템 보안 정책, 사용자 인증, 이벤트 로그로 보안 감사 메시지 전달등, 윈도우의 전반적인 보안처리를 담당한다. 이러한 서비스 관리는 아래 Lsasrv.dll(%Systemroot%\System32\lsasrv.dll)에서 구현된다. 그리고 LSA 관련 설정은 아래 레지스트리 위치 에서 확인 할 수 있다.

Read More

SAM(Security Accounts Manager), 캐시된 로그온 정보?

이는 도메인 서비스 환경에서 사용자가 도메인 서비스에 연결이 되지 않을 때, 특정 횟수 동안 도메인 연결없이 기존 로그인한 정보를 토대로 시스템에 로그인을 허용하는 것을 말한다. 즉, 기존 로그인 성공한 계정을 통해 일정 횟수동안 패스워드가 맞다면, 도메인 연결이 되지 않아도 로그인을 할 수 있다.   이는 보안상으로 볼때는 좋지 않으나, 사용자 입장에서 네트워크가 불가능 할 때

Read More