Author Archives: allmnet

프로세스 – EPROCESS, KPROCESS

그럼 먼저 프로세스 구조체인 EPROCESS에 대해 확인해 보자. 거대한 구조체인만큼 많은 정보를 가지고 있다. 앞서 애기하였지만, 모든 내용을 암기하려 하지 말자. 역분석에서 중요한 포인트는 흐름과 이해라 할 수 있다. EPROCESS를 통해 확인 할 수 있는 정보는 상당하다. 그도 그럴것이, 운영체제는 프로세스를 지윈하기 위한 사전에 마련된 공간과 같다. 이를 각프로세스들이 자신에 필요한 만큼 가져가고, 설정하여 사용하므로써,

Read More

EPROCESS와 KPROCESS, ETHREAD, KTHREAD 구조체

프로세스를 관리하기 위해 커널에서 사용하는 EPROCESS와 KPROCESS, ETHREAD, KTHREAD 구조체에 대해 더 자세히 알아보도록 하자. 프로세스와 스레드에 대한 정보를 담고 있는 만큼 이 와 연결된 서브 구조체들도 상당히 많다. 운영체제의 우리가 파악하고자 하는 프로세스와 스레드의 모든 정보가 여기 이 구조체를 파악함으로써 이해할 수 있게 된다. EPROCESS에서는 KPROCESS(Kernel process block)의 포인터를 통해 프로세스 정보들과 프로세스에서 생성되는

Read More

Ubuntu Firewall setting By UFW

The basic firewall in Ubuntu is UFW. So here’s how to use the basic UFW.. UFW enable/disable

Displays a warning that the firewall will be blocked on activation. Allow and block UFW Port base, Service base: sudo ufw allow <port>/<optional: protocol>

IP base: sudo ufw allow from <ip address>

UFW Advanced used sudo

Read More

Part 1 install Elasticsearch 6 0 cluster with logstash for centralized syslog

Step.1 check to ip address for connect to ssh

  Step.2 Install java and apply evn

  Step.3 Elasticsearch Install  

  Step.4 Add to service base  

  Step.5 Configuration for Elasticsearch

  you need to enable parameter below list  

  add to host and IP

Read More

The basics of program analysis – PE file format, DOS, NT, Section Header by PEBrowse

In the past, as the programmer of reverse engineering, malware, such as viruses and now nuclear tools emerged as their incessant, security/ending point was such important areas. In this case, public security personnel need analysis technology is one of the most fundamental understanding in a structure called the PE Header information from a file, made

Read More

Secure DNS Server 9.9.9.9 – Check to IBM X-Force’s threat intelligence database.

Chrome off infection sites, but not in chromium should be used. If using another application or Web browser you may not be protected from malicious sites…. If you don’t want your computer to be infected, it’s also a method of using 9.9.9.9 DNS. 9.9.9.9 is The Quad9 DNS service,  It’s checks  IBM X-Force’s threat intelligence

Read More

윈도우 계정 패스워드 보호 – pwddump Ophcarck

앞 SAM에서 애기하였지만 윈도우에서는 패스워드를 LM Hash와 NT Hash로 SAM파일에 보관하게 된다. 해당 정보는 윈도우를 실행하고 있는 상황에서는 일반적으로 확인할 수 없도록되어 있다. 여기서 해당 정보를 확인하고 계정의 패스워드를 확인하는 방법과 보호하는 방법을 알아보자. 만약 여러분이 계정의 패스워드를 잃어 버렸을 경우 가장 간편한 방법은 윈도우PE 시디를 이용하거나 다른 드라이브에 별도의 운영체제로 부팅을 통해 기존 드라이브의

Read More

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER)

윈도우 SAM 레지스트리 – 사용자 관리 (NET USER) SAM 레지스트리에서 사용자 계정들은 어떻게 만들어지고, 관리되는 것일까? 윈도우에 계정을 생성하면 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username%\이 생성되면서 아래에 생성한 유저이름으로 키가 추가된다. 이때 계정은 고유한 8자리값(RID)을 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 아래 가지게 되는데, 윈도우 설치기 기본적인 계정(빌드인 계정)은 10진수 500부터 시작하며, 생성한 계정들은 1000이상의 값을 가지게 된다. [그림]8자리 값을 가지며, 2개의 빌드인 계정이 존재

Read More