C/C++로 풀어보는 윈도우 구조

영어 공부할 때 단순 암기가 아닌 원리를 이해하는 방법으로 프로그램 개발과 분석을 공부합니다.

Read More

Server Log Collector

You can get easy and powerful control host system by Server Log Collector. Check light now.

Read More

DNSClush

Analyze malware visit user and Achive DNS log. And it's help collect to central log.

Read More

Regripper – Windows Forensic Registry

Regripper는 “Windows Forensic Analysis”의 저자인 ‘할렌 카비’가 펄로 작성한 레지스트리 분석기로써, 레지스트리에서 필요한 정보들을 자동으로 추출하여 준다. CLI버전(rip.exe)과 GUI버전(rr.exe)를 제공하며, http://regripper.wordpress.com/ 에서 관련 자료를 확인할 수 있다. 레지스트리의 분석을 하는데 많은 도움이 되며, 수작업으로 분석할 필요없이 레지스트리 하이브 파일을 입력하고, 유형을 선택하면 해당 하이브 파일에서 유용한 정보들을 텍스트로 작성하여 준다.   [그림] Regrepper GUI툴로 이용하여

Read More

Kernel Memory Space Analyzer(kanalyze)

Microsoft에서 제공하는 메모리 분석 툴로써 volatillity와 성격이 다른 도구로써, 장애 상황시 이를 이용하여 커널 메모리 덤프를 효과적으로 분석할 수 있도록 도와준다. 단 kanalyze는 비스타 이상 버전에서는 사용할 수 없다. 해당 도구를 아래 위치에서 다운로드 가능하다. http://www.microsoft.com/download/en/details.aspx?id=15877   이툴을 사용하기 위해서는 Debugging Tools for Windows 6.5.3.8 32-bit버전(http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe) 을 먼저 설치하고 Windbg 설치 디렉토리에 Kanalyze를 붙여넣도록 하자.(이

Read More

포렌식 데이터 원격 수집 방법 – PSEXEC, FSP와 FRUC

앞서서 공유한 글을 통해 로컬에서 수집하는 방법을 소개하였다. 글 … 참조 이번에는 원격 수집 방법에 대해 알아 보자. 원격지 수집은 네트워크에 분석 머신을 연결한후 해당 분석머신으로 데이터를 전송하는 것 별도의 툴을 사용하거나, 윈도우에서 제공하는 SMB(Server Message Block)를 이용해 전송 혹은 별도의 네트워크 프로토콜을 이용해 분석 머신으로 손쉽게 데이터를 수집할 수 있을 것이다. WMI를 이용해 원격지에서

Read More

Netcat – 사용법, 리버스 텔넷(Reverse Telnet)

일명 NC라고도 하는 넷캣(Netcat)은 네트워크 분야에서 사용이 광범위한 도구로써 원격지 서버 모드뿐만 아니라 클라이언트 모드등 다양한 기능을 제공해 많은 사용자를 확보하였다. 넷캣은 네트워크를 연결하는 도구로도 사용할 수 있고, 포트를 스캐닝하거나, 파일을 전송하는등 여러 용도로 사용할 수 있는데, 사용법 또한 간편하고, 실행파일 하나로 구성할 수 있다는 큰 장점을 가지고 있다. 넷켓을 이용한 해킹도 많이 발생하였는데, 이러한

Read More

침해사고 발생시 분석을 위한 포렌식 데이터 수집 – 스크립트

윈도우 침해사고가 발생하였을 때 수집할 데이터 항목 못지않게 중요한 부분이 수집 방법인데, 수집할 자료를 어떻게 보관하여, 분석을 위해 어떻게 가져갈 것인지를 사전에 정해야 하는데, 크게 수집 경로와 수집 방법이 있다. 수집 경로는 로컬로 저장하는 방법과 원격지로 저장하는 방법등이 있으며, 수집 방법은 이 수집 경로에 따라 변화 하게 된다. 그리고 따로 수집툴을 가지고 다녀야 한다. 문제가

Read More

포렌식 데이터 수집 올인원 도구 – Nigilant32

Nigilang32는 가벼우면서도 올인원과 같이 로컬에서 메모리 덤프 생성과 파일 덤프 분석, 휘발성 자료 수집(프로세스, 서비스, 유저, 예약된 작업, 네트워크 연결 정보등)등을 손쉽게 진행할 수 있다. 원하는 데로 커스텀하여 수집할 수는 없지만, 간편하게 분석을 진행하고자 한다면, 이 도구를 이용해서도 충분히 원하는 정보와 메모리, 파일 덤프를 얻을 수 있다. 직접 침입이 아닌 바이러스나, 악성 코드인 경우 유용할

Read More

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG If you have not read the PART1 document, check below. PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG Describes how to centralize syslog generated or received logs, especially those known as rsyslog. By centralizing this data, you can more easily track security audits, application behavior

Read More

컨텍스트 전환(Context Switch) – 퀀텀(Quantum)

컴퓨터는 하나의 스레드가 CPU를 사용할 수 있는 일정한 시간을 할당하는데, 이 할당한 시간만큼 스레드가 실행되게 된다. 이 개별 실행 시간을 퀀텀(Quantum)이라고 하며 퀀텀은 클록(Clacks)과 밀접한 관계가 있다. 클럭을 기준으로 CPU를 스케줄하여 사용되게 된다. 실제 퀀텀은 클럭을 기준으로 1/3로 계산되어, 몇 클록만큼 하나의 스레드가 실행할 수 있는지에 대해 정수값으로 이값을 표현한다. 이 값은 앞서 KTHREAD구조체에서 확인

Read More

최고의 .NET / C# 디컴파일러 Decompilers Best TOP3

오늘 소개할 내용은 .NET/C# Decompilers(디컴파일러) 에 대한 도구중 유명한 도구 3가지를 소개하도록 하겠습니다.   3등: .Net Reflector . Net Reflector는 오래된 도구로 사랑받는 Decompilers입니다. 거희 1.0 시절부터 나온 도구로써 유명한 도구입니다. 일반적인 성능을 자랑하며, 유료라는 점이 약간은 불편한 요소입니다.   2등: ILSpy . Net Reflector와 성능상 차이는 크지 않으면서 오픈소스로, 무료로 사용이 가능합니다. 코드 해석

Read More

Attack IP Date 2018-02-27

Sharing attack IP. This IP is a scan-attacked IP that attempted to access a remote access(3389, 22) or DB port(1433).Register as a blocked IP in the firewall.You can set the following IP to block for your Firewall. 201.95.73.113 191.8.43.41 46.101.221.127 123.14.175.160 79.22.127.49 94.21.83.202 122.220.192.108 101.28.226.89 223.215.153.63 77.29.67.36 218.205.171.122 114.241.92.42 62.1.242.7 27.151.73.121 51.255.50.45 124.116.223.79 219.173.146.5 221.0.77.79

Read More