Darkest

[windows] 윈도우 관리도구(mmc, cpl, msc, exe) 정리

윈도우 운영체제는 여러가지 관리 도구들이 있는데 이게 여기저기 산재해있기도 하고.. 제대로된 메뉴얼이 제공되는것도 아니라서 매번 헷갈린다. 그래서 한 번 정리해보고싶었다. 1. Microsoft Management Console(MMC)윈도우에는 MMC라 불리는 기능이 있다. MMC.exe를 실행하면 된다. 다음 사진을 보자여러가지 관리 도구들을 편리하게 사용할 수 있는 일종의 프레임워크다. 저런 관리도구들은 별개로 사용할수도 있고, MMC에 로드해서 한번에 관리할수도 있다.잘 보면 우리가 흔히 많이 자주 사용하는 *.msc 파일들인 것을 볼 수 있다. 2. *.MSChttps://answers.microsoft.com/ko-kr/windows/forum/all/msc-%EC%9D%98-%EC%95%BD..

[hacking] 운영체제 별 자동실행 기능들

공격자는 권한상승 또는 지속성 유지를 위해 가용한 모든 방법을 총 동원한다. 그 중 하나가 이러한 자동실행 기능들이다. 이번 포스팅에서는 어떤 기능들이 있는지 한번 살펴볼것이다. 1. 부팅 시 자동 시작거의 모든 컴퓨터에는 부팅 시 자동 시작 기능이 존재한다. 바로 '서비스' 라는 것인데 이는 윈도우 뿐만 아니라 리눅스, 맥에서도 지원한다. (아마 unix계열 직계후손인 BSD에도 똑같은 기능이 있지않을까?)또 윈도우 운영체제에서는 서비스 이외에도 registry key, startup 폴더 등 다양한 방법으로 트리거할 수 있는 기능을 지원한다.리눅스도 service외에도 init.d 또는 systemd 같은 기능이 존재한다.이러한 기능은 사용자가 시스템을 좀더 간편하게 사용할수 있도록 도와준다거나, 또..

[windows] 분석에서 중요한 레지스트리 키들

보호되어 있는 글입니다.

종종 악성파일을 다운로드 받고싶을 때가 있다(연구 목적으로)이럴 때 바이러스 토탈을 회사에서 구독 중이라면 최고겠지만.. 비싸다(약 2억정도)그래서 바토를 구독하는 회사에 다니는 지인에게 요청하거나 아니면 무료로 쉐어해주는 곳을 찾게된다.무료 악성코드 쉐어 사이트를 정리해본다.(내가 참고하려고 작성했어요)단 이 사이트들에서 다운로드 받은 악성파일을 다룰 때는 굉장히 조심해야 하며, 또 아마 이 글을 보는 독자여러분들이 악성파일을 다운로드 받아서 뭔가 나쁜짓을 할 수 있는 능력은 거의 없을거라는 생각이 들기때문에.. 혹시라도 나쁜데 사용하려고 하지는 말았으면 좋겠다. 1. Malware Bazzarhttps://bazaar.abuse.ch/ MalwareBazaar | Malware sample excha..

악성 코드나, 침해 사고를 분석하다 보면 IP을 할 일이 잦다.공격자의 IP가 될 수도 있고, 공격자가 C&C 서버나 정보유출지로 사용하는 서버 IP일 수도 있다.경찰이야 ISP 또는 KISA 등과 연계하면 좀더 방대한 데이터를 확보할 수 있겠지만, 그렇지 않을 경우 우리에게 주어진 정보들과 OSINT를 최대한 활용해서 분석 해 봐야 한다.이번 포스팅에서는 IP 분석에 도움이 되는 OSINT 웹 사이트들을 소개해보려고 한다. 1. 기본 IP 정보 분석 사이트https://whois.kr/ KISA 후이즈검색 whois.kisa.or.kr한국인터넷진흥원 인터넷주소자원 검색(후이즈검색) 서비스 입니다.xn--c79as89aj0e29b77z.xn--3e0b707e한글 도메인도 지원하지만 영어가 편하다. 한국 ..

지난 포스팅에서는 웹로그를 바라보는 관점과 필터링 기술에 대해 간략하게 다루어 보았다.원래는 글 하나로 끝내려고 했지만, 뭔가 아쉬워서 하나를 더 작성해보려고 하는데 이번 포스팅에서는 웹 로그 형태 그 자체에 대해서 한번 다루어보려고 한다.웹 로그는 크게 CLF(Common Log Format)과 W3C Extended Log Format(IIS 전용) 그리고 json 형태 웹 로그가 있다. 가장 많이 사용되는 것은 당연히 CLF 형태이고, 그 다음이 W3C이다. json 형태는 한 번도 본적이 없다. 1. 웹 로그 포맷웹 로그에는 IP, Timestamp, Http method, URL, Response code, Response Byte, referrer, agent 등 다양한 데이터가 기록된다. 1..

오늘 아마도 OSI 7대 대한 질문을 받았다.(아마도) 예전에 내가 다른 친구들에게 설명까지 했던 내용인데 요 몇년사이에 까맣게 잊어버리다니.. 어휴 정말 이러고도 콤푸타쟁이라고 하고 다니냐 싶은 생각이 절로든다.질문은 이랬다. Q. 브라우저에서 www.naver.com 을 입력하고 브라우저가 네이버 웹 화면을 띄우기까지 과정을 설명해보세요A. DNS www.naver.com 이라는 주소를 resolve하고 해당 ip로 웹 요청을 날립니다. 4층-transport layer에서 3-way handshake가 발생하고, key 교환하고 뭐 어쩌고 저쩌고 했던것 같다. 다시 생각해보면 틀린거같은데.. 그래서 다시 정리하는 김에 OSI 7 Layer를 그냥 정리하기보다는 네이버, 카카오톡 같은 예시를 ..

간만에 AWS를 좀 만져보려고 켰는데, 이놈의 AWS 인터페이스는 항상 눈돌아갈것 같이 복잡하고 더럽다.IAM 계정 생성이나 EC2 인스턴스 생성 같은 기능들은 많이 포스팅을 하기 때문에 필자는 이런 부분들을 일단은 넘어가보도록 하겠다.대신 네트워크와 보안 설정 부분을 집고 넘어가보려고 한다. 1. VPC(Virtual Private Cloud)뭐 용어는 굉장이 거창한데, 별거없다 정말로. 클라우드 환경 내에 '가상 사설망' 인프라를 구성하는 기능이다. 좀 더 쉽게 설명해보자면 다음과 같다.여러분들 홈 네트워크에서 IP를 보면 어떤 대역을 사용하고 있는가? 보통 일반적인 경우에 172.16.0.0/12 또는 192.168.0.0/16 대역을 사용하고 있을 것이다. 자 좀더 스코프를 좁혀서 설명해보겠다.K..

보호되어 있는 글입니다.

웹을 통한 침해사고 발생 시 웹 로그를 통해 공격자가 어떤 행위를 수행하였는 지 파악할 수 있다.다만 웹 로그 용량이 100GB를 넘어가면 눈알이 빠질듯한 경험을 할 수 있는데.. 이것도 어느정도 요령껏 가능한 부분이다.필자의 웹로그 분석 요령들을 공유해보고자 한다. 1. 웹 서비스 파악 우선 어떤 종류의 웹 서버를 사용하는지(Windows IIS, Apache, Tomcat)등 에 따라 분석 요령이 약간씩 달라진다. 가장 편한것은 아무래도 Linux 기반의 APM 이다.또한 VirtualHost 기능을 사용해서 하나의 웹 서버에서 다수의 웹 서비스를 제공하는 경우도 있기 때문에 침해가 발생한 웹 서비스를 정확하게 구분하는것도 중요하다. 2. 분석전략 우리에게는 수십만-수백만 줄의 로그가 주어진다. 자 ..