Author Archives: allmnet

Windbg – Display Memory Command D, DD, DW, DB

Windbg – Display Memory Command D, DD, DW, DB 메모리의 내용을 확인할 때 Windbg에서 사용하는 명령어로 매우 자주 사용되는 명령으로, 아래와 같이 사용할 수 있다. D 지정한 범위의 메모리 내용을 표시 DD range 지정한 범위의 메모리 내용을 DWORD(32bit)로 표시 DW range 지정한 범위의 메모리 내용을 WORD(16bit)로 표시 DB range 지정한 범위의 메모리 내용을 BYTE(8bit)로 표시

Read More

어셈블리 – INC/DEC 명령 MASM32 코드 예제

이 명령도 이름에서 알 수 있듯이 1을 증가/감소 시키는 명령이다. (앞서 CMP 명령 예제에서 진행했었다.)  피연산자는 1개이며, 메모리/범용 레지스터를 둘다 지정 가능하다.   // EBX 레지스터 값을 1 증가 inc ebx   // EBX 레지스터에 지정된 값의 메모리 주소에 있는 값을 1 증가 inc dword ptr [ebx]   // EBX 레지스터 값을 1 감소 dec

Read More

어셈블리 – PUSH/POP 명령 MASM32 코드 예제

이 명령은 스택에 데이터를 push(저장) 하거나 pop(꺼내기)라는 명령으로 스택과 밀접한 관계가 있다. (이후 진행되는 스택에서 자세히 다른다.) 이 명령의 사용은 자료 구조 스택과 동일하다. PUSH/POP 는 한개의 피연산자를 받는데, 이 피연산자는 직접값/메모리/레지스터(세그먼트 포함)가 될 수 있다. PUSH이 실행되면, ESP는 해당 바이트만큼 감소하고, POP 명령이 실행되면 ESP레지스터는 해당 바이트만큼 증가하게 된다.   masm6.asm .586 .model flat, stdcall

Read More

윈도우 전체 메모리 덤프 생성 – MDD, Win32dd, Memoryze

메모리 덤프는 Windbg로 분석할 수 있는 메모리 덤프와 다른 일반적인 메모리 분석툴에서 분석을 진행할 수 있는 RAW타입(바이너리)의 메모리 덤프이다. 이 둘은 서로 호환되지 않으므로, 만약 침해사고 분석 용도라면 RAW 타입으로 생성하야 함을 명심하기 바란다. MDD mdd_1.3 ManTech에서 오픈 소스로 제공하는 메모리 덤프 프로그램이다. (소스는 http://sourceforge.net/projects/mdd/files/ 에서 다운로드 가능하다.) 본 툴은 윈도우 XP부터 Windows 2008까지 지원하며,

Read More

Attack IP Date 2018-01-02

Sharing attack IP. This IP is a scan-attacked IP that attempted to access a remote access(3389, 22) or DB port(1433). Register as a blocked IP in the firewall.You can set the following IP to your Firewall. 223.247.37.179 78.148.111.136 66.96.211.231 183.190.174.93 181.128.252.193 119.10.86.10 202.220.230.238 119.90.135.203 220.128.232.114 78.171.180.27 221.209.11.99 90.151.133.143 221.225.170.241 153.217.184.52 2.132.68.35 172.104.75.101 116.70.188.250 183.167.240.117 219.102.199.162

Read More

Microsoft 공식 파일 해시 체크 도구 – Fciv

이 툴의 다운로드 경로는 다음과 같다. http://www.microsoft.com/download/en/details.aspx?id=11533 C:\Users\juhan>fciv.exe /? // // File Checksum Integrity Verifier version 2.05. // Entry to Add: Path is too long or missing. Exiting… Usage: fciv.exe [Commands] <Options> Commands: ( Default -add ) -add <file | dir> : Compute hash and send to output (default screen). dir options: -r : recursive.

Read More

스레드 – ETHREAD, KTHREAD

스레드 구조체는 ETHREAD에 정의되어 있다. dt _ETHREAD, dt _KTHREAD 명령을 실행하면 아래와 같이 ETHREAD의 각 구조체 정의를 확인 할 수 있게 된다. ETHTEAD에서 중요한 필드는 다음과 같다. KTHREAD 블록: KTHREAD 데이터 구조체 스레드 시간 정보: 스레드 생성과 종료 시간 프로세스 식별: 프로세스의 ID와 스레드 ID 시작주소: 스레드 시작 루틴이 있는 주소 가장정보: 엑세스 토큰과 가장

Read More

THREAD – ETHREAD, KTHREAD

The thread structure is defined in the ETHREAD. dt _ETHREAD, dt _KTHREAD When you run the command, as shown below, each structure definition ETHREADwill be able to check. ETHTEADis an important field is as follows. KTHREAD block: KTHREAD data structure Thread time information: Thread creation and end times Process identification: The process IDand thread ID The start address: The address of the thread

Read More

Elasticsearch – Term 쿼리

지정한 단어가 들어있는지를 확인한다.   GET /_search { “query”: { “filtered”: { “filter”: { “term”: {” programname”: “WHORUEventAuth”} } } } }   위와 같이 검색한다면 WHORUEventAuth 와 동일한 단어가 들어있는 Document들은 검색대상이 된다. 다만 단어 하나와 완전히 일치해야 한다. 즉 WHORUEventAuth 가 WHORUEvent 로 검색할 경우에는 검색되지 않는다. NEST를 이용한 검색 구분은 다음과 같다

Read More

Process – EPROCESS, KPROCESS

Well first make sure about the process and let the EPROCESSstructure. The massive structure is to have as much information as. Ahead of the baby, but I am trying to memorize all the details, let’s not. In the analysis of the important points to understand the flow and the station can be called. You can

Read More