본문 바로가기

툴28

EnDecoder v1.4 -HEX-binary -ROT 13 -base64 -escape -Windows Date Big endian -Windows Date Little endian -Unix Date Big endian -Unix Date Little endian -Whois Lookup -DNS Lookup -TCP/UDP Port Lookup-Blacklist Lookup -Windows Event ID 2016. 3. 23.

패턴 검색 및 출력 변환 awk 패턴 검색 및 출력 내용 변환에 사용되는 도구이다. ex) awk -F: 'BEGIN{print "start AWK"} /root/{if($3 == 0){print $7}} END{print "end AWK\n"}' /etc/passwd ※ /etc/passwd를 ‘:’로 문자열을 쪼개고 “start AWK”라는 문자열을 출력한 뒤 root라는 문자열을 포함하고 있는 행에서 3번째 필드가 0이라면 7번째 필드 값을 출력하고 출력이 끝나면 마지막으로 “end AWK”를 출력하고 종료한다. -주요 옵션 옵션 설명 -F field 문자열을 나눌 기준을 정한다. 1. BEGIN 영역 awk를 실행하면 가장 먼저 처리되는 영역이다. 이 영역에서는 레코드는 읽어 들이지 않는다. 2. Main 영역 // 사이에 읽어.. 2012. 7. 18.

시스템 분석 및 스냅샷 생성 System Explorer 현재 시스템 정보 및 스냅샷 기능을 제공해주는 도구이다. -주요 기능 기능 설명 프로세스 실행중인 프로세스 정보를 출력하고 프로세스 정상 유무를 검사한다. 연결 프로세스가 생성한 네트워크 연결 정보를 출력한다. 자동 실행 자동 실행과 관련된 레지스트리 목록을 출력한다. 스냅샷 파일 & 레지스트리 정보를 스냅샷으로 생성하고 2개의 스냅샷을 비교하여 변화여부를 확인한다. 2012. 7. 18.

로그 변환 LogParser 여러 종류의 로그파일을 원하는 형태로 파싱해주는 도구이다. ex) LogParser -i:IISW3C -o:CSV "select date, time, c-ip, s-ip, s-port, cs-method, cs-uri-stem, cs-uri-query, sc-status into d:\result.csv from d:\ex120705.log" -주요 옵션 옵션 설명 -i: input 입력파일의 형식을 지정한다. IISW3C, NCSA, IIS, IISODBC, BIN, IISMSID, HTTPERR, URLSCAN, CSV, TSV, W3C, XML, EVT, ETW, NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS, COM -o: output 출력파일의 형식을 지정한다. CSV.. 2012. 7. 18.

시스템 정보 출력 psinfo 현재 시스템의 정보를 출력해주는 도구이다. ex) psinfo –h –s -d -주요 옵션 옵션 설명 -h hotfix 설치된 핫픽스 정보를 출력한다. -s software 설치된 소프트웨어 정보를 출력한다. -d disk 디스크의 볼륨 정보를 출력한다. -c csv CSV 포맷 형태로 출력한다. 2012. 7. 18.

프로세스 행동 분석 Process Moniter 프로세스들의 행동을 분석해주는 도구이다. -주요 필터 필터 설명 PID 프로세스 아이디로 필터링한다. Parent PID 해당 프로세스 아이디를 가진 프로세스에 의해 생성된 프로세스로 필터링한다. Process Name 프로세스 명으로 필터링한다. Operation 프로세스 동작으로 필터링한다. 동작 설명 Process Create 새로운 프로세스 생성 WriteFile 파일 쓰기 (CreateFile은 파일을 여는 동작에도 발생하기 때문에 새롭게 생성한 파일만 구분하기 힘들다. 따라서 파일 생성과 병행되는 WriteFile로 필터링한다.) RegSetValue 레지스트리 값 생성 & 변경 2012. 7. 18.

프로세스 점검 Process Explorer Windows의 작업관리자와 유사하나 프로세스에 대해 좀 더 자세한 정보를 제공해주는 도구이다. -주요 옵션 옵션 설명 Options>Difference Highlight Duration... Highlight 값이 변하는 경우 표시하는 시간을 지정한다. 프로세스 생성/제거와 같은 이벤트는 빠르게 지나가기때문에 이 값을 길게 설정하면 좀 더 쉽게 파악할 수 있다. Process>Create Dump 해당 프로세스의 메모리 덤프를 생성한다. Process>Properties... 프로세스의 기본 정보, 쓰레드, 네트워크, 환경변수, 문자열 등의 자세한 정보를 출력한다. 2012. 7. 18.

객체 권한 점검 AccessEnum 명시한 디렉토리/레지스트리 내부 객체들의 접근 권한을 나열해주는 도구이다. -주요 옵션 옵션 설명 Display only files... 명시한 디렉토리/레지스트리보다 많은 권한이 할당된 객체만 출력한다. Display files with... 명시한 디렉토리/레지스트리와 다른 권한이 할당된 객체만 출력한다. 2012. 7. 18.

객체 권한 점검 accesschk 파일, 디렉토리, 레지스트리, 서비스 등에 대한 사용자의 접근 권한을 검사하는 도구이다. ex) accesschk –k –w –u HKLM\software -주요 옵션 옵션 설명 -a account right 해당 계정 권한을 소유한 사용자/그룹을 출력한다. -c service 해당 서비스에 대한 사용자/그룹의 권한을 출력한다. -k key 해당 레지스트리에 대한 사용자/그룹의 권한을 출력한다. -l list 해당 파일의 ACL을 출력한다. -o [ specific ] object 해당 오브젝트에 대한 사용자/그룹의 권한을 출력한다. -p process 해당 프.. 2012. 7. 18.

개인 정보 추출 Bulk Extractor 지정된 이미지로부터 이메일, 전화번호 등의 데이터를 추출해주는 도구이다. ex) #bulk_extractor –o ~/bulk_result /dev/sda1 -주요 옵션 옵션 설명 -o output 결과물을 저장할 디렉토리를 지정한다. -j job 검색 쓰레드 갯수를 지정한다. -x except 명시된 스캐너는 제외하고 검색한다. 2012. 7. 18.

암호화 영역 생성 TrueCrypt 디스크의 일정영역을 암호화 영역으로 사용하여 중요한 파일의 유출을 예방하는 도구이다. -주요 옵션 옵션 설명 -t text Text user Interface로 실행한다. -c create 새로운 볼륨을 생성한다. --create-keyfile 새로운 키파일을 생성한다. --mount 볼륨을 마운트한다. -d dismount 볼륨의 마운트를 해제한다. -l list 마운트된 볼륨 목록을 출력한다. -C change 볼륨의 비밀번호를 변경한다. 1. 볼륨의 생성 #truecrypt –t –c Volume type: 1) Normal 2) Hidden Select [1]: 1 생성할 볼륨의 타입을 설정한다. -Normal : 일반 볼륨을 생성한다. -Hidden : 히든 볼륨을 생성한다. (일반 볼륨 내부에.. 2012. 7. 18.

루트킷 점검 rkhunter 시스템의 루트킷 존재 여부를 검사해주는 도구이다. ex) #rkhunter -c --sk -주요 옵션 옵션 설명 -c check 로컬 시스템을 검사한다. -C config check rkhunter 설정 파일을 검사한다. -q quiet 검사 중간 과정을 출력하지 않는다. --sk skip keypress 실행 도중 키 입력 요청을 생략한다. -l log file 로그 파일의 경로를 지정한다. 기본 경로 : /var/log/rkhunter.log -r root dir rkhunter를 실행할 최상위 디렉토리를 설정한다. --nocf no config 설정 파일 없이 실행한다. --append-log 로그를 덮어쓰지 않고 이어 쓴다. --bindir 커맨드 디렉토리를 지정한다. --disable 명시된 테.. 2012. 7. 18.

루트킷 점검 chkrootkit 시스템의 루트킷 존재 여부를 검사해주는 도구이다. ex) #chkrootkit -주요 옵션 옵션 설명 -l list 테스트 가능한 목록을 출력한다. -d debug 디버그 모드로 실행한다. -q quiet 최소한의 정보만 출력한다. -x expert 전문가 모드로 실행한다. -각 실행파일의 내부 문자열 출력 -주요 시스템 정보 출력 -r root dir chkrootkit을 실행할 최상위 디렉토리를 설정한다. -p path chkrootkit에서 사용하는 명령어들의 경로를 설정한다. -n nfs NFS를 통해 마운트된 디렉토리는 제외한다. 2012. 7. 18.

Snort 명령 사용 -Snort는 snort.conf 파일 또는 명령행 옵션을 통해 여러 가지 명령을 설정할 수 있다. ex:)config nolog snort.conf 명령행 옵션 설명 alertfile 없음 Snort가 발생시킨 모든 경고를 저장할 파일을 지정할 수 있다. bpf_file -F BPF 포맷 필터를 포함하는 파일을 지정할 때 쓰인다. checksum_mode 없음 패킷 체크섬을 검사할 패킷의 종류를 지정할 때 쓰인다. 들어 갈 수 있는 값에는 all, none, noicmp, noip, notcp, noudp가 있다. chroot -t Snort의 새로운 홈디렉터리를 지정한다. 기본적으로 홈 디렉터리는 Snort 실행 파일이 위치하는 곳이다. deamon -D Snort 프로세스를 fork한다. (프로세스.. 2010. 11. 30.

Snort 변수 변수의 정의 종류 사용법 예시 일반 변수 var 변수명 값 var DNS_SERVER 203.248.252.2 배열 var 변수명 [값1,값2] var INTERNAL_NETS [10.1.100.0/24,10.1.0.0/16] 동적 변수 var 변수1 값 var 변수2 $변수1 var DNS_SERVER 203.248.252.2 var MY_DNS $DNS_SERVER 동적 변수2 var 변수1 값 var 변수2 $(변수1:기본값) ※변수1이 존재하지 않는 경우, 변수2는 기본값 적용 var DNS_SERVER 203.248.252.2 var MY_DNS $(DNS_SERVER:10.1.1.2) 동적 변수3 var 변수1 값 var 변수2 $(변수1:?경고 메세지) ※변수1이 존재하지 않는 경우, 경고 .. 2010. 11. 30.

Snort 로그 Snort 로깅 옵션 옵션 설명 -l 로그 파일을 저장할 디렉터리 경로 -h 홈 서브넷 -b 로그를 2진 형태로 저장한다. -L 2진 로그 파일 이름 snort -dev -l /var/adm/snort/logs -h 192.168.1.0/24 -위 옵션을 사용할 경우 /var/adm/snort/logs 디렉토리에 해당 IP 주소명의 디렉토리가 생성되고 세션별로 파일이 생성된다. ex)TCP:3039-80 (TCP 프로토콜,출발지 포트:3039, 목적지 포트 80) ※로그를 2진 형태로 저장하면 데이터를 사람이 읽기 편한 형태로 로그를 바꿀 필요가 없기 때문에 Snort의 패킷 수집 속도가 빨라진다. Snort 2진 형태 로그 snort -l /var/adm/snort/logs -b -b옵션을 사용하여 로.. 2010. 11. 30.

Snort 모드 Snort 침입 탐지 모드 -Snort를 기본 IDS 모드로 실행하면 기본 출력은 log 하위 디렉터리의 alert라는 파일에 저장된다. 경고 모드 -패킷이 alert 규칙과 일치했을 경우 Snort는 다음 2가지 작업을 수행한다. 경고 보관소(alert facility)로 이벤트를 출력한다. 설정된 로깅모드로 가능한 많은 데이터를 기록한다. alert facility 옵션 옵션 설명 Full 경고 메시지와 전체 패킷 헤더를 포함한다. (기본값) Fast 타임스탬프, 경고 메시지, 출발지와 목적지 IP, Port만으로 구성된 간단한 형태의 경고를 만든다. Syslog syslog로 로그를 기록한다. 기본적으로 로그는 LOG_AUTHPRIV와 LOG_ALERT에 저장된다. Unixsock UNIX도메인 소.. 2010. 11. 30.

Snort를 스니퍼로 사용 -Snort를 -v 옵션으로 실행할 경우 캡쳐한 패킷의 IP, TCP, UDP, ICMP헤더를 화면에 출력한다. -보다 많은 정보를 얻고 싶다면 -d 옵션과 -e 옵션을 사용해야한다. 옵션 설명 -d 애플리케이션 계층 데이터를 HEX와 ASCII 코드로 출력한다. -e 데이터링크 계층 헤드를 포함한다. -v 패킷 스니핑 모드로 동작한다. (TCP 헤더) snort -dev ※-v 옵션이 없이 -d 옵션과 -e 옵션을 동시에 사용할 경우 아무 옵션 없이 Snort를 실행하는 것과 같은 결과를 얻는다. 2010. 11. 30.

Snort 플러그인 탐지 플러그인 Snort는 탐지엔진에서 플러그인 구조를 사용하고 있는데(detection-plug-ins 하위 폴더에 존재) 탐지 플러그인의 구조는 다른 개발자가 Snort 규칙과 연결된 플러그인을 쉽게 작성할 수 있도록 되어있다. 예를 들어 snortsam 프로그램이 있는데 이 프로그램은 공격을 탐지할 경우 방화벽을 재구성하여 패킷 차단이 가능하다. -공격지 주소를 1시간동안 차단 alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg : "FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux"; flow:to_server, established; content: "|31c031db31c9b046cd8031c.. 2010. 11. 30.

Snort 규칙 -규칙 헤더 alert tcp $EXTERNAL_NET any -> $HOME_NET 21 헤더 값 내용 alert alert, log, pass, dynamic, activate 출력 포맷을 의미한다. 이 출력 포맷은 연결리스트 트리 헤더의 맨 상위 부분과 비교된다. tcp TCP, UDP, IP, ICMP 사용되는 프로토콜을 의미하며 연결리스트의 상위 부분과 비교된다. $EXTERNAL_NET · 출발지 IP 주소를 가리킨다. (기본 설정은 any) any any, 포트 번호 출발지 포트를 의미한다. -> · 패킷의 방향을 가리킨다. $HOME_NET · Snort 규칙에서는 $Variables를 이용한다. 변수는 snort.conf파일의 맨 앞부분에서 정의되며 나머지 부분에서 그 변수를 사용한다. .. 2010. 11. 30.

이전 1 2 다음

티스토리툴바