C/C++로 풀어보는 윈도우 구조

영어 공부할 때 단순 암기가 아닌 원리를 이해하는 방법으로 프로그램 개발과 분석을 공부합니다.

Read More

Server Log Collector

You can get easy and powerful control host system by Server Log Collector. Check light now.

Read More

DNSClush

Analyze malware visit user and Achive DNS log. And it's help collect to central log.

Read More

Windows Startup Process 정리

  이표는 시스템이 전원이 들어와 운도우 운영체제로 부팅을 진행하여, 사용자가 로그인 할 수 있는 GINA화면을 표시하기까지의 과정을 순차적으로 표시한 것이다.   no 프로세스 타입 설명 1 MBR 16bit real mode Boot Sector를 로드 2 Boot Sector 16bit real mode root directory를 읽어 ntldr 로드 3 NTLDR 32/64bit protected mode boot.ini 를 읽어 운영체제를 선택할수 있게

Read More

Windows 실시간 커널 디버깅 – Windbg

실시간 커널 디버깅을 위해서는 별도의 머신이 필요하다. 이를 물리적으로 구성하는것도 좋지만, 설정 및 관리가 쉽지 않아, 대체로 요즘 많이 사용되는 가상화 머신을 이용하여 구성 하는 경우가 많다. 그럼 먼저 용어에 대해 알아보자. 실시간 커널 디버깅은 운영체제에 문제가 발생하였을 때 문제가 되는 머신(TARGET)을 디버깅 모드로 설정후 COM포트를 이용하여 HOST와 연결, 분석을 실시간으로 진행하는데, 그 머신에 대한

Read More

Windows 유저모드와 커널모드

Windows 유저모드와 커널모드 Windows 아키텍처를 애기하면, 제일 먼저 떠오르는 건 앞에서 말했듯 유저 모드와 커널모드이다. 이를 간단히 구조화 하면 아래그림과 같다. 미리 애기하지만, 이 그림에는 많은 것이 간략화 되어 있어, 모든것이 나타나 있지는 않다. 아래 그림은 TechNet에 공개된 Windows 2000시절의 구조이지만, Windows 2008에서 구조와 크게 다르지 않는다. 최신 Windows Internal 5판의 97페이지를 보면 보다 자세한

Read More

WordPress bypass Google Authenticator plugin

WordPress bypass Google Authenticator plugin We use Google Authenticator often to configure OTP for WordPress security. However, you may not be able to log in with the “Authenticator code is incorrect or has expired” message because you did not have the time or the Google Authenticator code you used for security. I’ll show you how

Read More

Window Eventlog 실시간 메일 전송하기

다음으로 진행할 내용은 계정 로그인에 대한 감시이다. 감시영역에서 기본이면서 제일 중요한 부분이다. 로그인 하지 않은 상태에서도, 시스템 취약점이 있어, 자료가 유출되거나 변조될수 있는데, 시스템에 로그인 하였다면, 서버 전체를 내주는것과 마찬가지라 볼 수 있다. 따라서 계정관리는 그만큼 중요하며, 로그인에 대한 감시는 기본적으로 선행 되어야 한다. 로그인 감시는 여러가지를 이용하여 구현할 수 있는데, 가장 대표적인 방식으로 보안

Read More

Elasticsearch – Index Delete, disk full, can’t gathering data on some node

If you cluster Elasticsearch. When can indexing some node data before disk full, unplaned reboot. However, you must delete last index.   If you have Kibana just use DELETE /logstash-<lastdate> or /<some problem index name>   OR You haven’t any UI, You can use CLI command,   curl -XDELETE ‘localhost:9200/logstash-<lastdate> or /<some problem index name>

Read More

Regripper – Windows Forensic Registry

Regripper는 “Windows Forensic Analysis”의 저자인 ‘할렌 카비’가 펄로 작성한 레지스트리 분석기로써, 레지스트리에서 필요한 정보들을 자동으로 추출하여 준다. CLI버전(rip.exe)과 GUI버전(rr.exe)를 제공하며, http://regripper.wordpress.com/ 에서 관련 자료를 확인할 수 있다. 레지스트리의 분석을 하는데 많은 도움이 되며, 수작업으로 분석할 필요없이 레지스트리 하이브 파일을 입력하고, 유형을 선택하면 해당 하이브 파일에서 유용한 정보들을 텍스트로 작성하여 준다.   [그림] Regrepper GUI툴로 이용하여

Read More

Kernel Memory Space Analyzer(kanalyze)

Microsoft에서 제공하는 메모리 분석 툴로써 volatillity와 성격이 다른 도구로써, 장애 상황시 이를 이용하여 커널 메모리 덤프를 효과적으로 분석할 수 있도록 도와준다. 단 kanalyze는 비스타 이상 버전에서는 사용할 수 없다. 해당 도구를 아래 위치에서 다운로드 가능하다. http://www.microsoft.com/download/en/details.aspx?id=15877   이툴을 사용하기 위해서는 Debugging Tools for Windows 6.5.3.8 32-bit버전(http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe) 을 먼저 설치하고 Windbg 설치 디렉토리에 Kanalyze를 붙여넣도록 하자.(이

Read More

포렌식 데이터 원격 수집 방법 – PSEXEC, FSP와 FRUC

앞서서 공유한 글을 통해 로컬에서 수집하는 방법을 소개하였다. 글 … 참조 이번에는 원격 수집 방법에 대해 알아 보자. 원격지 수집은 네트워크에 분석 머신을 연결한후 해당 분석머신으로 데이터를 전송하는 것 별도의 툴을 사용하거나, 윈도우에서 제공하는 SMB(Server Message Block)를 이용해 전송 혹은 별도의 네트워크 프로토콜을 이용해 분석 머신으로 손쉽게 데이터를 수집할 수 있을 것이다. WMI를 이용해 원격지에서

Read More

Netcat – 사용법, 리버스 텔넷(Reverse Telnet)

일명 NC라고도 하는 넷캣(Netcat)은 네트워크 분야에서 사용이 광범위한 도구로써 원격지 서버 모드뿐만 아니라 클라이언트 모드등 다양한 기능을 제공해 많은 사용자를 확보하였다. 넷캣은 네트워크를 연결하는 도구로도 사용할 수 있고, 포트를 스캐닝하거나, 파일을 전송하는등 여러 용도로 사용할 수 있는데, 사용법 또한 간편하고, 실행파일 하나로 구성할 수 있다는 큰 장점을 가지고 있다. 넷켓을 이용한 해킹도 많이 발생하였는데, 이러한

Read More