Category Archives: Security

침해사고 발생시 분석을 위한 포렌식 데이터 수집 – 스크립트

윈도우 침해사고가 발생하였을 때 수집할 데이터 항목 못지않게 중요한 부분이 수집 방법인데, 수집할 자료를 어떻게 보관하여, 분석을 위해 어떻게 가져갈 것인지를 사전에 정해야 하는데, 크게 수집 경로와 수집 방법이 있다. 수집 경로는 로컬로 저장하는 방법과 원격지로 저장하는 방법등이 있으며, 수집 방법은 이 수집 경로에 따라 변화 하게 된다. 그리고 따로 수집툴을 가지고 다녀야 한다. 문제가

Read More

포렌식 데이터 수집 올인원 도구 – Nigilant32

Nigilang32는 가벼우면서도 올인원과 같이 로컬에서 메모리 덤프 생성과 파일 덤프 분석, 휘발성 자료 수집(프로세스, 서비스, 유저, 예약된 작업, 네트워크 연결 정보등)등을 손쉽게 진행할 수 있다. 원하는 데로 커스텀하여 수집할 수는 없지만, 간편하게 분석을 진행하고자 한다면, 이 도구를 이용해서도 충분히 원하는 정보와 메모리, 파일 덤프를 얻을 수 있다. 직접 침입이 아닌 바이러스나, 악성 코드인 경우 유용할

Read More

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG If you have not read the PART1 document, check below. PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG Describes how to centralize syslog generated or received logs, especially those known as rsyslog. By centralizing this data, you can more easily track security audits, application behavior

Read More

컨텍스트 전환(Context Switch) – 퀀텀(Quantum)

컴퓨터는 하나의 스레드가 CPU를 사용할 수 있는 일정한 시간을 할당하는데, 이 할당한 시간만큼 스레드가 실행되게 된다. 이 개별 실행 시간을 퀀텀(Quantum)이라고 하며 퀀텀은 클록(Clacks)과 밀접한 관계가 있다. 클럭을 기준으로 CPU를 스케줄하여 사용되게 된다. 실제 퀀텀은 클럭을 기준으로 1/3로 계산되어, 몇 클록만큼 하나의 스레드가 실행할 수 있는지에 대해 정수값으로 이값을 표현한다. 이 값은 앞서 KTHREAD구조체에서 확인

Read More

최고의 .NET / C# 디컴파일러 Decompilers Best TOP3

오늘 소개할 내용은 .NET/C# Decompilers(디컴파일러) 에 대한 도구중 유명한 도구 3가지를 소개하도록 하겠습니다.   3등: .Net Reflector . Net Reflector는 오래된 도구로 사랑받는 Decompilers입니다. 거희 1.0 시절부터 나온 도구로써 유명한 도구입니다. 일반적인 성능을 자랑하며, 유료라는 점이 약간은 불편한 요소입니다.   2등: ILSpy . Net Reflector와 성능상 차이는 크지 않으면서 오픈소스로, 무료로 사용이 가능합니다. 코드 해석

Read More

윈도우 레지스트리 완벽 삭제 – Registry defragmentation

윈도우 레지스트리 완벽 삭제 – Registry defragmentation 삭제된 레지스트리를 완벽하게 지울 수 있는 방법은 삭제한 빈공간의 데이터를 지워주면 된다. 이를 지원해 주는 도구들이 있는데 바로 레지스트리 조각 모음 도구들이다. 레지스트리 조각모음 도구들은 무료로 많이 제공하므로 확인해 보기 바란다. 필자는 Auslogics사에서 무료로 제공하는 Registry defrag를 이용하여 레지스트리 조각 모음을 진행한다. http://www.auslogics.com/en/software/registry-defrag/ 에서 다운로드하여 사용할 수 있다.

Read More

윈도우 삭제된 레지스트리 확인 – regslack

윈도우 삭제된 레지스트리 확인 – regslack 파일 분석시 실제 내용을 지우지 않고 덮어쓰듯이 레지스트리 역시 삭제 플래그만 표시하고, 새로운 데이터가 덮어써 지기 전까지 사용되지 않는 공간에 남아있게 된다. 이를 틈새 공간(Slack space)라고 하며, 이 영역을 조사하여, 삭제한 정보를 확인할 수 있다. 해당 툴은 http://regripper.net 에서 다운로드 가능하였으나 현재 더 이상 운영되고 있지 않은 관계로, https://itka.kr

Read More

Reverse Engineering – The decompiler

For the most part, the debugger are supported and assemble together to decompile, dieosembeulreo also can analyze and decompile a compiled language, because you can see that the dieosembeulreo and the decompiler can do this classification of the advance. So in this book, the interpretation of the source code, and analysis(such as the executable file, breakpoint control) feature is

Read More

The underlying connection was closed – REST API call over HTTPS

The underlying connection was closed – REST API call over HTTPS

  The sample code looks like this:

Despite the use of the WebClient, HttpWebRequest, or WebRequest classes in C #, the same failure continued to occur. The underlying connection was closed: An unexpected error occurred on a send. The answer was in

Read More

Log Analysis -tr, awk, uniq, sort

Log analysis method in addition to infringing accidents, disability is useful in situations where. The majority of the analysis task, an important part of how I want to get rid of unnecessary data or to collect data is on. The log contains all the messages you’ve got to have lots of data. To do this, depending on

Read More