Category Archives: Security

부팅의 시작 – MBR 이해

MBR(Master Boot Record)는 운영체제가 부팅 할 때POST(Power on Self-Test)과정을 마친후 저장매체의 첫 번째 섹터를 호출을 시도하는데, 이 때 MBR이 존재한다면, MBR의 부트 코드가 수행되게 된다.   [그림]MBR이 존재하지 않으면, 부팅 에러가 발생한다   부트 코드의 역할은 파티션 테이블에서 부팅 가능한 파티션을 찾아, 해당 파티션의 부트 섹터를 호출해 주는 역할을 한다. 부팅 가능한 파티션이 없을 경우

Read More

Windows Startup Process 정리

  이표는 시스템이 전원이 들어와 운도우 운영체제로 부팅을 진행하여, 사용자가 로그인 할 수 있는 GINA화면을 표시하기까지의 과정을 순차적으로 표시한 것이다.   no 프로세스 타입 설명 1 MBR 16bit real mode Boot Sector를 로드 2 Boot Sector 16bit real mode root directory를 읽어 ntldr 로드 3 NTLDR 32/64bit protected mode boot.ini 를 읽어 운영체제를 선택할수 있게

Read More

Windows 유저모드와 커널모드

Windows 유저모드와 커널모드 Windows 아키텍처를 애기하면, 제일 먼저 떠오르는 건 앞에서 말했듯 유저 모드와 커널모드이다. 이를 간단히 구조화 하면 아래그림과 같다. 미리 애기하지만, 이 그림에는 많은 것이 간략화 되어 있어, 모든것이 나타나 있지는 않다. 아래 그림은 TechNet에 공개된 Windows 2000시절의 구조이지만, Windows 2008에서 구조와 크게 다르지 않는다. 최신 Windows Internal 5판의 97페이지를 보면 보다 자세한

Read More

WordPress bypass Google Authenticator plugin

WordPress bypass Google Authenticator plugin We use Google Authenticator often to configure OTP for WordPress security. However, you may not be able to log in with the “Authenticator code is incorrect or has expired” message because you did not have the time or the Google Authenticator code you used for security. I’ll show you how

Read More

Regripper – Windows Forensic Registry

Regripper는 “Windows Forensic Analysis”의 저자인 ‘할렌 카비’가 펄로 작성한 레지스트리 분석기로써, 레지스트리에서 필요한 정보들을 자동으로 추출하여 준다. CLI버전(rip.exe)과 GUI버전(rr.exe)를 제공하며, http://regripper.wordpress.com/ 에서 관련 자료를 확인할 수 있다. 레지스트리의 분석을 하는데 많은 도움이 되며, 수작업으로 분석할 필요없이 레지스트리 하이브 파일을 입력하고, 유형을 선택하면 해당 하이브 파일에서 유용한 정보들을 텍스트로 작성하여 준다.   [그림] Regrepper GUI툴로 이용하여

Read More

Netcat – 사용법, 리버스 텔넷(Reverse Telnet)

일명 NC라고도 하는 넷캣(Netcat)은 네트워크 분야에서 사용이 광범위한 도구로써 원격지 서버 모드뿐만 아니라 클라이언트 모드등 다양한 기능을 제공해 많은 사용자를 확보하였다. 넷캣은 네트워크를 연결하는 도구로도 사용할 수 있고, 포트를 스캐닝하거나, 파일을 전송하는등 여러 용도로 사용할 수 있는데, 사용법 또한 간편하고, 실행파일 하나로 구성할 수 있다는 큰 장점을 가지고 있다. 넷켓을 이용한 해킹도 많이 발생하였는데, 이러한

Read More

침해사고 발생시 분석을 위한 포렌식 데이터 수집 – 스크립트

윈도우 침해사고가 발생하였을 때 수집할 데이터 항목 못지않게 중요한 부분이 수집 방법인데, 수집할 자료를 어떻게 보관하여, 분석을 위해 어떻게 가져갈 것인지를 사전에 정해야 하는데, 크게 수집 경로와 수집 방법이 있다. 수집 경로는 로컬로 저장하는 방법과 원격지로 저장하는 방법등이 있으며, 수집 방법은 이 수집 경로에 따라 변화 하게 된다. 그리고 따로 수집툴을 가지고 다녀야 한다. 문제가

Read More

포렌식 데이터 수집 올인원 도구 – Nigilant32

Nigilang32는 가벼우면서도 올인원과 같이 로컬에서 메모리 덤프 생성과 파일 덤프 분석, 휘발성 자료 수집(프로세스, 서비스, 유저, 예약된 작업, 네트워크 연결 정보등)등을 손쉽게 진행할 수 있다. 원하는 데로 커스텀하여 수집할 수는 없지만, 간편하게 분석을 진행하고자 한다면, 이 도구를 이용해서도 충분히 원하는 정보와 메모리, 파일 덤프를 얻을 수 있다. 직접 침입이 아닌 바이러스나, 악성 코드인 경우 유용할

Read More

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG If you have not read the PART1 document, check below. PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG Describes how to centralize syslog generated or received logs, especially those known as rsyslog. By centralizing this data, you can more easily track security audits, application behavior

Read More

컨텍스트 전환(Context Switch) – 퀀텀(Quantum)

컴퓨터는 하나의 스레드가 CPU를 사용할 수 있는 일정한 시간을 할당하는데, 이 할당한 시간만큼 스레드가 실행되게 된다. 이 개별 실행 시간을 퀀텀(Quantum)이라고 하며 퀀텀은 클록(Clacks)과 밀접한 관계가 있다. 클럭을 기준으로 CPU를 스케줄하여 사용되게 된다. 실제 퀀텀은 클럭을 기준으로 1/3로 계산되어, 몇 클록만큼 하나의 스레드가 실행할 수 있는지에 대해 정수값으로 이값을 표현한다. 이 값은 앞서 KTHREAD구조체에서 확인

Read More