WHORUDB

It’s best performance tool and monitoring/logging to Database query easily.

Read More

Server Log Collector

You can get easy and powerful control host system by Server Log Collector. Check light now.

Read More

DNSClush

Analyze malware visit user and Achive DNS log. And it's help collect to central log.

Read More

시스템 파일 보호 – WFP(Windows File Protection) WRP(Windows Resouce Protection)

비스타의 경우 기존에 제공한 WFP(Windows File Protection) 기능 이외에도, WRP(Windows Resouce Protection)기능을 통해 추가로 보호하고 있다. 먼저 WFP는 윈도우 2000시절 적용된 기술로써, SFC(System File Checker)의 기능중 시스템 파일 감시(Sfc_os.dll)를 이용하여, Winlogon에 주요 시스템 디렉토리들을 모니터링하여 해당 파일이 정상 버전이 아닌경우 설치 원본 파일로 교체하는 기능을 말한다. 이 기능은 아래와 같이 Winlogon에서 동작하게 되는데, (덮어쓰기 이후

Read More

윈도우 파일 권한/소유자 변경 명령어 – Takeown Cacls

권한과 소유자를 명령어를 통해서도 구현할 수 있도록 Takeown, Cacls 명령을 통해 통제 할 수 있다. 먼저 Cacls에 대해 확인해보자 Cacls는 명령창을 통해 파일의 권한을 변경할 수 있다. 본 명령은 여러 파일을 서로 다른 권한으로 변경하여야 하거나, 여러 컴퓨터에 적용시 유용한 명령어이다. [그림] 비스타부터 Cacls와 Icacls 함께 제공 Icacls는 권한 변경뿐만 아니라 현재 권한 내용을 파일로

Read More

윈도우 로그인 관리자 Winlogon.exe

Winlogon.exe는 사용자 로그인 관련 동작을 지원하는 프로세스로써, 비스타이전 부팅시 보안 인증을 담당하는 Lsass.exe(Local Security Authority Subsystem Service, LSA라고도 함)와 서비스를 관리하는Services.exe(Service Control Manager)를 실행 하고(앞서 애기 했듯 비스타이후 부터는 Wininit.exe가 실행한다.), 유저 로그인 동작 위해 GINA(Graphical Identification and Authentication)을 호출하는 등 로그온, 로그오프 관련 기능을 수행하는 프로세스 이다. [그림]Winlogon이 호출한 GINA(msgina.dll)화면 Winlogon은 대기 시 SAS(secure

Read More

서브시스템 관리자 Csrss.exe (Client-Server Runtime Subsystem)

Client-Server Runtime Subsystem의 약자로, Basesrv.dll, winsrv.dll, csrsrv.dll를 로드하여 Console Windows 처리, 프로세스와 스레드 생성과 삭제, 16비트 가상 DOS 머신(VDM) 프로세스를 위한 기능 일부 및 SxS(Side-by-Side) 지원 한다. Windows Startup Process임과 동시에 서브시스템 관리 프로세스로써 중요한 위치를 차지하는 프로세스이며, 이 역시 네이티브 어플리케이션이다. 레지스트리 (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Windows키)에서 설정값을 확인할 수 있다. 그리고 CSRSS은 윈도우 서브시스템 DLL과 빠른

Read More

윈도우 세션 관리자 Smss.exe (Session Manager Subsystem)

Smss.exe는 Session Manager Subsystem의 약자로, 부팅 이후 최초로 생성되는 시스템 구동에 필요한 프로세스이다. (1장 후반부 성능 부분에서 Xperf를 통해 부팅 프로세스를 확인할 수는데 부팅 최초 프로세스로 확인할 수 있다.) Smss.exe는 레지스트리 정보를 확인하여, 먼저 기본 실행 파일(…\Session Manager\BootExecute)을 확인하여 실행하게 된다. (기본적으로는 autochk, 디스크검사가 실행된다.) 그리고 시스템 환경 설정을 레지스트리(HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment)에서 확인하고 설정에 맞게 초기화

Read More

How to collect to windows log on graylog

1. step Download whoruevent visit to https://asecurity.so/windows-server-log-collector-who-is-use-my-system/whoruevent/ and download whoruevent.zip   2. step copy and paste in windows server Decompress that zip file, Then copy and paste to windows server. 3. step configuration whoruevent Configuration syslog_ip and collect log type in eventlog section. 4. step install whoruevent for service type Install service type, If you

Read More