본문 바로가기
반응형

분류 전체보기304

Microsoft Technet Windows Server 2003 보안 가이드 http://technet.microsoft.com/ko-kr/library/dd637706.aspx 2012. 4. 30.
윈도우 설치 관련 로그 저장 위치 http://support.microsoft.com/kb/927521 2012. 4. 27.
윈도우 Vista/7/2008 진단 스크립트 v1.3.4 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0) - 각 진단 항목에 대한 권고사항 출력 추가 - 6.3 항목 화면 잠금 시간 변수 추가 - 6.4 항목 로그 최대 크기 변수 추가 - 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0) - 4.2 항목에 대한 점검 추가 - 기존 진단 결과 파일 저장 폴더를 삭제하고 새로 생성하던 방식에서 내부 동일 진단 결과 파일만 삭제하도록 변경 2012-04-29 (v1.3.0) - 2.1 항목에서 administrator 계정 존재시 활성화 여부 출력 추가 2012-05-08 (v1.3.1) - 6.8 항목에서 정상적으로 양호판단을 하지 못하던 버그.. 2012. 4. 25.
[telnet]Unencrypted connection refused 해결 테스트 환경 : CentOS 5.2 ekrb5-telnet과 telnet이 동시에 켜져 있는 경우 ekrb5-telnet이 적용되서 ekrb5-telnet에 의해 암호화되지 않은 연결이 해제되는 것으로 보인다. 2012. 3. 22.
2012.03.20 JS 악성코드 분석 메모 현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다. ohLgj5=DDrbLO0('a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,'')); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 'replace' 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8='replace'; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 명령어로 해석될 수 없는 문.. 2012. 3. 20.
[일반]Win32.Trojan.Pearmor.416768 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 3. 8.
[일반]Win32.FlyStudio.Worm.1289331 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 3. 6.
[Lena] 튜토리얼 01 http://tuts4you.com/request.php?122 1번 문제는 라이센스 획득과 관련된 문제로 보인다. (검사 루틴 회피 또는 유효한 라이센스 키 생성) OllyDBG를 실행하고 처음부터 쭉 훑어보면 Keyfile.dat라는 파일을 읽어들이는 부분이 보인다. Keyfile.dat라는 파일을 생성하고 실행을하면 정상적인 키파일이 아니라는 메세지가 뜬다. 좀 더 아래에 보면 파일을 읽어들이고 읽어들인 데이터의 길이를 체크하는 부분이 보인다. 키파일은 총 16자의 길이를 가지는 것으로 추측된다. 키파일의 길이가 16자 이상이면 유효한 키인지 확인하는 루틴으로 넘어간다. 1byte씩 읽어들여 (004010C1) 아스키 코드값 47('G')과 일치하는지 확인하고 (004010CB) 일치하는경우 ESI.. 2012. 1. 12.
[일반]Win32.Xema.worm.307200.E ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 1. 10.
2011.1.4 Xema worm 동적 분석 메모 프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145.. 2012. 1. 4.
[상세]VBS.Autorun.7474 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2011. 11. 25.
VBScript shell.run shell.run strCommand, [intWindowStyle],[bWaitOnReturn] -strCommand : 실행할 명령 -intWindowStyle : 윈도우 스타일의 Int 값 -bWaitOnReturn : 스크립트를 계속 실행하기 이전에 명령이 완료되기를 기다릴지 여부의 boolean 값 Window Style value description 0 Hide the window and activate another window 1 Activate and display the window. (restore size and position) Specify this flag when displaying a window for the first time 2 Activate & minimize 3.. 2011. 11. 24.
VBScript DriveType 값 Value Description 0 Unknown 1 Removable 2 Fixed 3 Network 4 CD-ROM 5 RAM Disk 2011. 11. 24.
VBScript CreateTextFile 함수 object.CreateTextFile(filename[,overwrite[,unicode]]) -filename : 생성할 파일 경로 및 파일명 -overwrite : 기존에 파일이 존재할 겨우 덮어 쓸지 여부로 Boolean 값을 가진다. -unicode : 파일을 Unicode로 생성할지 여부로 Boolean 값을 가지며 false의 경우 ASCII로 생성된다. 2011. 11. 24.
VBScript 파일 객체 속성 값 Constant Value Description Nomal 0 Nomal file. No attributes are set ReadOnly 1 Read only file. Attribute is read/write Hidden 2 Hidden file. Attribute is read/write System 4 System file. Attribute is read/write Volume 8 Disk drive volume label. Attribute is read only Directory 16 Folder or directory. Attribute is read only Archive 32 File has changed since last backup. Attribute is read/write. .. 2011. 11. 24.
NTDLL.dll 참조 : Windows Internals 5th NTDLL은 서브시스템을 위한 시스템 지원 라이브러리로써, 두 종류의 함수를 갖고 있다. 1.윈도우 익스큐티브 시스템 서비스에 대한 시스템 서비스 디스패치 스텁 -유저모드에서 호출할 수 있는 윈도우 익스큐티브 시스템 서비스 인터페이스로써 400개가 넘는 함수(NtCreateFile 등)들로 이루어져 있고 윈도우 API를 통해 접근 가능하다. 이들 함수 내부 코드는 시스템 서비스 디스패처를 호출하기 위해 커널모드로의 진입을 일으키는 아키텍처한정적인 인스트럭션을 가지고 있다. 시스템 서비스 디스패처는 인자를 검증한 후 Ntoskrnl.exe 내부의 실제 커널모드 시스템 서비스를 호출한다. 2.서브시스템, 서브시스템 DLL, 다른 네이티브 이미지에 의해 사용되는.. 2011. 11. 3.
단순화된 윈도우 아키텍쳐 참조 : Windows Internals 5th [유저모드] -시스템 지원 프로세스 : 로그온 프로세스와 세션 관리자 등이 있다. -서비스 프로세스 : 작업 스케쥴러와 프린트 스풀러 서비스 같은 윈도우 서비스를 호스팅 하며 유저의 로그온과는 별개로 실행해야한다. -유저 애플리케이션 : 윈도우,MS-DOS,POSIX 등 다양한 유형의 유저 애플리케이션이 있다. -환경 서브시스템 : 운영체제 환경 지원의 일부분 또는 사용자와 프로그래머에게 제공되는 개인 환경을 구현한다. [커널모드] -익스큐티브 : 메모리 관리,프로세스 관리 , 보안, 입출력, 네트워크, 프로세스간의 통신을 담당한다. -커널 : 스레드 스케줄링, 인터럽트, 예외 처리, 멀티프로세서 동기화 같은 저수준 운영체제 함수로 구성된다. -디바이스 드.. 2011. 10. 19.
2011.10.07 KITRI 메모 APT 공격 절차 1.HOST System 제어 권한 확득 (악성코드를 통한 방법이 가장 일반적. Email,ActiveX,P2P등을 이용한 전파) 2.내부 네트워크 정보 수집 / 주요 서버 시스템 접근 권한 획득 3.주요 정보 탈취 정보 수집 기법 1.Foot printing (웹사이트,이메일 헤더 분석,직업 사이트,whois,블로그 등등을 이용, 공격 대상에 직접적으로 영향을 끼치지 않음) 2.scanning Active Host Scanning : 동작 중인 시스템 확인 Port Scanning : 개방된 TCP/UDP 포트 확인 Vulnerablility Scanning : 알려진 시스템 취약점 확인 3.Enumeration 시스템의 그룹, 계정, 동작 프로세스 정보 확인 구글 연산자 1. fil.. 2011. 10. 7.
2011.09.30 Tacademy 안드로이드 10일차 메모 우리나라의 mms는 현재 세계 표준과 다르다. 요즘은 보안 문제로 제조사에서 sms 컨텐츠 프로바이더로의 접근을 막고 있다. Thinking in java 4/e 자바 고급 배터리 상태 접근은 BATTERY_STATS 퍼미션 필요 매니페스트 파일의 uses-feature 에 설정된 기능을 지원하지 않는 경우 설치가 되지 않도록 해줌 멀티미디어 prepare 동기식 prepareSync 비동기식 이미지버튼은 클릭 이벤트 보다는 터치 이벤트가 감지가 잘 된다. 2011. 9. 30.
2011.09.28 Tacademy 안드로이드 8일차 메모 SQLite3 관계형 데이터베이스 파일 기반 데이터베이스 외부키를 지원하지 않기때문에 트리거를 통해 구현해야한다. 컨텍스트 : 안드로이드가 모든 어플리케이션에게 제공하는 선물 setLickingEnables 트랜젝션이 완료되기 전에 다른 트랙젝션이 데이터베이스를 참조하는것을 방지해줌 compileStatement : preparedStatement와 비슷 rawQuery : Content Provider에서는 사용 불가 for문에서 length 값을 직접 참조하기 보다는 변수에 값을 저장하고 그 변수를 이용해서 반복문을 도는게 좋다. c:\Docum~\administrator>adb shell #sqlite3 /data/data/com.pyo.sql.sqlite.girl/databases/girlsGro.. 2011. 9. 28.
반응형
바로가기

티스토리툴바