Information Security/Hacking (52) 썸네일형 리스트형 Strace - System call Tracking tool * Strace : 진단, 디버그 등의 목적으로 시스템 호출, 신호 전달자, 프로세스 상태의 변화를 포함하는 프로세스와 리눅스 커널 간 상호 작용을 감시하는데 사용된다. strace는 ptrace라는 커널 기능을 통해 사용될 수 있다. (다 필요 없고 그냥 디버깅 목적으로 System call 추적에 아주 용이한 툴) * Strace 사용법 및 옵션 예시 (디버깅 목적이라 시간 정보를 조회 할 필요가 있으니 각자 Linux 시스템의 시간 정보 동기화를 선행하기를 추천하며, 필자는 Remnux에 이미 설치가 되어 있어 편하게 사용함 - Strace apt 설치 페이지 404 Not found 등의 문제로 그냥 귀찮아서 설치 되어 있는걸 씀...) 1. Binary 추적 : 실행 가능한 Binary 추적을 .. Windows Registry * Registry : Key와 Value로 구성되어 윈도우 시스템 운영에 필요한 각종 정보를 포함하고 있음 * Hive 파일 : Registry 정보를 저장하고 있는 물리적인 파일로, 오프라인 상태(비활성)에서 시스템 분석에 활용됨 Hive 파일 종류 저장 정보 SAM - 계정 정보 및 접속 기록 저장 (system32\config\SAM) SECURITY - 시스템 보안 정책 및 권한 정보 (system32\config\SECURITY) SOFTWARE - 시스템에 설치된 모든 Application 정보 (system32\config\SOFTWARE) SYSTEM - 시스템 관련 설정 정보 (system32\config\SYSTEM) NTUSER.dat - 각 사용자별 환경설정/프로파일 정보 (C:\.. Windows PE file * Executable File (실행 파일) : 명령에 따라 지시된 작업을 수행하는 파일 - Windows (PE) / Unix 계열 (ELF) / IOS (Mach-O) / Android (DEX) / DOS (MZ) 등으로 분류 * Portable Executable : Windows 운영체제 상 실행 파일 포맷 - 실행 파일 (EXE, SCR) / 라이브러리 (DLL, OCX), 드라이버 (SYS), 오브젝트 파일(OBJ) 등으로 분류 * PE 파일 구조 분류 내용 PE Header * 모든 PE 파일이 동일하게 가지고 있는 헤더 1) IMAGE_DOS_HEADER - Windows OS의 하위 호환성 지원을 위해 DOS 운영체제가 윈도우용 PE 파일을 실행 시, 적절한 오류 메세지(MS-DOS .. 악성코드(Malware)유형 및 분석 유형 * Malware : 컴퓨터에서 악성 행위를 위해 개발된 모든 소프트웨어 * 악성코드 분류 명칭 분류 내용 Downloader * 악성코드에서 지정한 외부 주소에 접속, 추가 악성코드를 다운로드 및 실행시키는 악성코드 - 다운로드 행위가 차단되지 않는 이상, 백신 프로그램을 우회 할 수 있음 Dropper * 외부가 아닌, 자신의 내부에 포함되어 있는 데이터를 이용하여 악성코드를 추가적으로 생성 - 통상 드롭되는 악성코드는 압축/암호화 되어 있어 백신을 통한 탐지가 어려움 * Injector : 드롭퍼의 특수 형태로 파일 생성 없이, 자신의 데이터로 프로세스를 생성하여 메모리에 상주시키는 형태 Keylogger * 키보드로 입력되는 메세지를 중간에서 가로채서 기록하는 형태의 악성코드 Backdoor * .. Analysis Tool - Process Explorer * Process Explorer : 기존 윈도우 작업관리자에서 제공하지 못하는, 시스템 디버깅 목적의 프로세스 관련 정보를 파악하기 용이하게 만든 툴 * Process Explorer 주요 기능 1) 프로세스 목록 및 현황 파악(트리 구조) - 부모/자식 프로세스 실행 현황 출력 2) 프로세스 구분 (Options -> Configure Colors) - 색상 별로 프로세스 유형을 정의하여 출력(색상 사용자 임의 변경 가능) PE 프로세스 구분 설명 New Objects * 신규 생성 프로세스 Deleted Objects * 종료된 프로세스 Own Processes * Process Explorer와 동일 사용자의 계정으로 실행된 프로세스 Services * Windows 서비스 프로세스 Suspend.. Analysis Tool - Process Monitor * Process Monitor : MS 운영체제상에서 시스템 관리, 컴퓨터 포렌식, 파일 디버깅 등의 목적으로 사용하는 툴로, 모든 레지스트리에 대한 행위, 구체적인 Key, 프로세스, PID 등의 필터링, 관련 DLL 파악 등에 사용할 수 있음 * Process Monitor 주요 기능 Process Monitor 주요 기능 설명 * 레지스트리 활동 모니터링 * 파일시스템 활동 모니터링 * 네트워크 활동 모니터링 * 프로세스 및 쓰레드 활동 모니터링 * 이벤트 프로파일링 * Process Monitor 보조 기능 Process Monitor 보조 기능 설명 * 현재 상태 Capture * 최근 활동한 Process 목록으로 이동 (autoScroll) * 프로세스 목록 Clear * 필터링 (조건부).. Database 보안 * Database 보안 위협 DB 보안 위협 내용 집성 (Aggregation) * 낮은 보안 등급의 정보들을 조합하여, 높은 보안 등급의 정보를 알아냄 추론 (Inference) * 보안등급이 없는 사용자가, 보안으로 분류되지 않은 정보를 정당하게 접근, 기밀 정보를 유추하는 행위 * DB 보안 통제 DB 보안 통제(제어) 내용 접근 통제 * 사용자의 접근 권한의 범위 내에서 DB 데이터 접근을 허용하는 기술적 방법 * DBA(DataBase Administrator)은 개별 사용자 또는 역할/그룹별 접근통제를 위해 아래의 사항 결정 - 접근 가능한 데이터 - 데이터의 접근 수준 (ex. 필드 또는 레코드 수준 접근 통제) - 데이터에 허용할 작업(ex. 읽기/변경/삽입/추가 등) 추론 통제 * 추론.. DHCP (Dynamic Host Configuration Protocol) * DHCP : 동적으로 클라이언트의 IP를 설정하기 위한 프로토콜 - Server(67/UDP), Client(68/UDP) 사용 * DHCP 관련 명령어 1) ipconfig /release : 할당 받은 IP 주소를 해제 2) ipconfig /renew : 새 IP주소를 DHCP 서버로부터 수신 * DHCP IP 할당 절차 DHCP IP 할당 메세지 내용 DHCP Discover Message * DHCP Server를 찾기 위해 자신의 MAC정보를 담아서 Broadcast 함 DHCP Offer Message * DHCP Server가 Client에게 IP를 제공 DHCP Request Message * 해당 IP를 사용하겠다고 Server에 요청하는 메세지 - Offer 메세지를 통해 주소를 .. 이전 1 2 3 4 ··· 7 다음
