Category Archives: Security

스레드 – ETHREAD, KTHREAD

스레드 구조체는 ETHREAD에 정의되어 있다. dt _ETHREAD, dt _KTHREAD 명령을 실행하면 아래와 같이 ETHREAD의 각 구조체 정의를 확인 할 수 있게 된다. ETHTEAD에서 중요한 필드는 다음과 같다. KTHREAD 블록: KTHREAD 데이터 구조체 스레드 시간 정보: 스레드 생성과 종료 시간 프로세스 식별: 프로세스의 ID와 스레드 ID 시작주소: 스레드 시작 루틴이 있는 주소 가장정보: 엑세스 토큰과 가장

Read More

THREAD – ETHREAD, KTHREAD

The thread structure is defined in the ETHREAD. dt _ETHREAD, dt _KTHREAD When you run the command, as shown below, each structure definition ETHREADwill be able to check. ETHTEADis an important field is as follows. KTHREAD block: KTHREAD data structure Thread time information: Thread creation and end times Process identification: The process IDand thread ID The start address: The address of the thread

Read More

Elasticsearch – Term 쿼리

지정한 단어가 들어있는지를 확인한다.   GET /_search { “query”: { “filtered”: { “filter”: { “term”: {” programname”: “WHORUEventAuth”} } } } }   위와 같이 검색한다면 WHORUEventAuth 와 동일한 단어가 들어있는 Document들은 검색대상이 된다. 다만 단어 하나와 완전히 일치해야 한다. 즉 WHORUEventAuth 가 WHORUEvent 로 검색할 경우에는 검색되지 않는다. NEST를 이용한 검색 구분은 다음과 같다

Read More

Process – EPROCESS, KPROCESS

Well first make sure about the process and let the EPROCESSstructure. The massive structure is to have as much information as. Ahead of the baby, but I am trying to memorize all the details, let’s not. In the analysis of the important points to understand the flow and the station can be called. You can

Read More

프로세스 – EPROCESS, KPROCESS

그럼 먼저 프로세스 구조체인 EPROCESS에 대해 확인해 보자. 거대한 구조체인만큼 많은 정보를 가지고 있다. 앞서 애기하였지만, 모든 내용을 암기하려 하지 말자. 역분석에서 중요한 포인트는 흐름과 이해라 할 수 있다. EPROCESS를 통해 확인 할 수 있는 정보는 상당하다. 그도 그럴것이, 운영체제는 프로세스를 지윈하기 위한 사전에 마련된 공간과 같다. 이를 각프로세스들이 자신에 필요한 만큼 가져가고, 설정하여 사용하므로써,

Read More

EPROCESS와 KPROCESS, ETHREAD, KTHREAD 구조체

프로세스를 관리하기 위해 커널에서 사용하는 EPROCESS와 KPROCESS, ETHREAD, KTHREAD 구조체에 대해 더 자세히 알아보도록 하자. 프로세스와 스레드에 대한 정보를 담고 있는 만큼 이 와 연결된 서브 구조체들도 상당히 많다. 운영체제의 우리가 파악하고자 하는 프로세스와 스레드의 모든 정보가 여기 이 구조체를 파악함으로써 이해할 수 있게 된다. EPROCESS에서는 KPROCESS(Kernel process block)의 포인터를 통해 프로세스 정보들과 프로세스에서 생성되는

Read More

Ubuntu Firewall setting By UFW

The basic firewall in Ubuntu is UFW. So here’s how to use the basic UFW.. UFW enable/disable

Displays a warning that the firewall will be blocked on activation. Allow and block UFW Port base, Service base: sudo ufw allow <port>/<optional: protocol>

IP base: sudo ufw allow from <ip address>

UFW Advanced used sudo

Read More

The basics of program analysis – PE file format, DOS, NT, Section Header by PEBrowse

In the past, as the programmer of reverse engineering, malware, such as viruses and now nuclear tools emerged as their incessant, security/ending point was such important areas. In this case, public security personnel need analysis technology is one of the most fundamental understanding in a structure called the PE Header information from a file, made

Read More

Secure DNS Server 9.9.9.9 – Check to IBM X-Force’s threat intelligence database.

Chrome off infection sites, but not in chromium should be used. If using another application or Web browser you may not be protected from malicious sites…. If you don’t want your computer to be infected, it’s also a method of using 9.9.9.9 DNS. 9.9.9.9 is The Quad9 DNS service,  It’s checks  IBM X-Force’s threat intelligence

Read More