Category Archives: Security

IDA와 보쉬(Bochs)를 이용하여 MBR 실시간 디버깅

  MBR영역을 실시간으로 디버깅하기 위해서는 운영체제 부팅 전단계에서부터 디버거가 디버기를 제어할 수있어야 한다. Windbg는 부팅로더에서 디버거를 연결할 수 있기 때문에 이미 MBR영역에 대한 처리가 완료된 상태로 Windbg를 이용한 커널 디버깅 방법으로는 MBR영역을 분석할 수 없다. 다행히 보쉬라는 가상 머신이 IDA와 함께 이용하면, MBR영역을 분석할 수 있는 기능을 제공한다. MBR영역은 MBR 루트킷 분석작업에 유용하게 사용될수 있고,

Read More

Powershell Hacking Script and Study

There seems to be a lot of attacks using Powershell recently. You can see various attack codes such as various backdoor and Credentials stealing by using Powershell. https://github.com/samratashok/nishang I hope you can study this because you can build defense logic through understanding the ways of using Powershell. Also, there are lots of tricks and useful

Read More

부팅의 시작 – MBR 이해

MBR(Master Boot Record)는 운영체제가 부팅 할 때POST(Power on Self-Test)과정을 마친후 저장매체의 첫 번째 섹터를 호출을 시도하는데, 이 때 MBR이 존재한다면, MBR의 부트 코드가 수행되게 된다.   [그림]MBR이 존재하지 않으면, 부팅 에러가 발생한다   부트 코드의 역할은 파티션 테이블에서 부팅 가능한 파티션을 찾아, 해당 파티션의 부트 섹터를 호출해 주는 역할을 한다. 부팅 가능한 파티션이 없을 경우

Read More

Windows Startup Process 정리

  이표는 시스템이 전원이 들어와 운도우 운영체제로 부팅을 진행하여, 사용자가 로그인 할 수 있는 GINA화면을 표시하기까지의 과정을 순차적으로 표시한 것이다.   no 프로세스 타입 설명 1 MBR 16bit real mode Boot Sector를 로드 2 Boot Sector 16bit real mode root directory를 읽어 ntldr 로드 3 NTLDR 32/64bit protected mode boot.ini 를 읽어 운영체제를 선택할수 있게

Read More

Windows 유저모드와 커널모드

Windows 유저모드와 커널모드 Windows 아키텍처를 애기하면, 제일 먼저 떠오르는 건 앞에서 말했듯 유저 모드와 커널모드이다. 이를 간단히 구조화 하면 아래그림과 같다. 미리 애기하지만, 이 그림에는 많은 것이 간략화 되어 있어, 모든것이 나타나 있지는 않다. 아래 그림은 TechNet에 공개된 Windows 2000시절의 구조이지만, Windows 2008에서 구조와 크게 다르지 않는다. 최신 Windows Internal 5판의 97페이지를 보면 보다 자세한

Read More

WordPress bypass Google Authenticator plugin

WordPress bypass Google Authenticator plugin We use Google Authenticator often to configure OTP for WordPress security. However, you may not be able to log in with the “Authenticator code is incorrect or has expired” message because you did not have the time or the Google Authenticator code you used for security. I’ll show you how

Read More

Regripper – Windows Forensic Registry

Regripper는 “Windows Forensic Analysis”의 저자인 ‘할렌 카비’가 펄로 작성한 레지스트리 분석기로써, 레지스트리에서 필요한 정보들을 자동으로 추출하여 준다. CLI버전(rip.exe)과 GUI버전(rr.exe)를 제공하며, http://regripper.wordpress.com/ 에서 관련 자료를 확인할 수 있다. 레지스트리의 분석을 하는데 많은 도움이 되며, 수작업으로 분석할 필요없이 레지스트리 하이브 파일을 입력하고, 유형을 선택하면 해당 하이브 파일에서 유용한 정보들을 텍스트로 작성하여 준다.   [그림] Regrepper GUI툴로 이용하여

Read More

Netcat – 사용법, 리버스 텔넷(Reverse Telnet)

일명 NC라고도 하는 넷캣(Netcat)은 네트워크 분야에서 사용이 광범위한 도구로써 원격지 서버 모드뿐만 아니라 클라이언트 모드등 다양한 기능을 제공해 많은 사용자를 확보하였다. 넷캣은 네트워크를 연결하는 도구로도 사용할 수 있고, 포트를 스캐닝하거나, 파일을 전송하는등 여러 용도로 사용할 수 있는데, 사용법 또한 간편하고, 실행파일 하나로 구성할 수 있다는 큰 장점을 가지고 있다. 넷켓을 이용한 해킹도 많이 발생하였는데, 이러한

Read More

침해사고 발생시 분석을 위한 포렌식 데이터 수집 – 스크립트

윈도우 침해사고가 발생하였을 때 수집할 데이터 항목 못지않게 중요한 부분이 수집 방법인데, 수집할 자료를 어떻게 보관하여, 분석을 위해 어떻게 가져갈 것인지를 사전에 정해야 하는데, 크게 수집 경로와 수집 방법이 있다. 수집 경로는 로컬로 저장하는 방법과 원격지로 저장하는 방법등이 있으며, 수집 방법은 이 수집 경로에 따라 변화 하게 된다. 그리고 따로 수집툴을 가지고 다녀야 한다. 문제가

Read More

포렌식 데이터 수집 올인원 도구 – Nigilant32

Nigilang32는 가벼우면서도 올인원과 같이 로컬에서 메모리 덤프 생성과 파일 덤프 분석, 휘발성 자료 수집(프로세스, 서비스, 유저, 예약된 작업, 네트워크 연결 정보등)등을 손쉽게 진행할 수 있다. 원하는 데로 커스텀하여 수집할 수는 없지만, 간편하게 분석을 진행하고자 한다면, 이 도구를 이용해서도 충분히 원하는 정보와 메모리, 파일 덤프를 얻을 수 있다. 직접 침입이 아닌 바이러스나, 악성 코드인 경우 유용할

Read More