Microsoft Technet Windows Server 2003 보안 가이드
http://technet.microsoft.com/ko-kr/library/dd637706.aspx
IT
윈도우 설치 관련 로그 저장 위치
http://support.microsoft.com/kb/927521
윈도우 Vista/7/2008 진단 스크립트 v1.3.4
win2008 check 201510260029.zip 다운로드 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0)– 각 진단 항목에 대한 권고사항 출력 추가– 6.3 항목 화면 잠금 시간 변수 추가– 6.4 항목 로그 최대 크기 변수 추가– 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0)– 4.2 항목에 대한 점검 추가– … Read more
[telnet]Unencrypted connection refused 해결
테스트 환경 : CentOS 5.2 ekrb5-telnet과 telnet이 동시에 켜져 있는 경우 ekrb5-telnet이 적용되서 ekrb5-telnet에 의해 암호화되지 않은 연결이 해제되는 것으로 보인다.
2012.03.20 JS 악성코드 분석 메모
현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다. ohLgj5=DDrbLO0(‘a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,”)); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 ‘replace’ 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8=’replace’; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 … Read more
[일반]Win32.Trojan.Pearmor.416768
Win32.Trojan.Pearmor.416768.pdf 다운로드 (Sample)Win32.Trojan.Pearmor.416768.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
[일반]Win32.FlyStudio.Worm.1289331
Win32.FlyStudio.Worm.1289331.pdf 다운로드 (Sample)Win32.FlyStudio.Worm.1289331.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
[Lena] 튜토리얼 01
http://tuts4you.com/request.php?122 [##_http://kbs3720.tistory.com/script/powerEditor/pages/1C%7Ccfile9.uf@192E9E394F55D39F23837B.png%7Cwidth=%22321%22_##]1번 문제는 라이센스 획득과 관련된 문제로 보인다. (검사 루틴 회피 또는 유효한 라이센스 키 생성) OllyDBG를 실행하고 처음부터 쭉 훑어보면 Keyfile.dat라는 파일을 읽어들이는 부분이 보인다. [##_http://kbs3720.tistory.com/script/powerEditor/pages/1C%7Ccfile3.uf@144D14354F55D3A00F749F.png%7Cwidth=”174″_##]Keyfile.dat라는 파일을 생성하고 실행을하면 정상적인 키파일이 아니라는 메세지가 뜬다. 좀 더 아래에 보면 파일을 읽어들이고 읽어들인 데이터의 길이를 체크하는 부분이 보인다. 키파일은 총 16자의 길이를 가지는 것으로 … Read more
[일반]Win32.Xema.worm.307200.E
Win32.Xema.Worm.307200.E.pdf 다운로드 (Sample)Win32.Xema.worm.307200.E.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
2011.1.4 Xema worm 동적 분석 메모
프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe