No img
'Security'에 해당되는 글 65건

  1. [Artifact] 윈도우 포렌식 - 이벤트로그 아티팩트 2019.09.16
  2. [Linux] 시스템 로그 분석 2019.09.13
  3. [File System] 파일 시스템 2019.09.13
  4. ARP Spoofing 2019.09.11
  5. [pwnable.kr] Toddler's Bottle - flag 문제 2019.09.11
  6. packing과 unpacking 2019.09.11
  7. [pwnable.kr] Toddler's Bottle - bof 문제 2019.09.10
[Artifact] 윈도우 포렌식 - 이벤트로그 아티팩트
2019. 9. 16.
이벤트로그 이벤트로그는 윈도우 시스템을 사용하면서 남는 로그를 뜻한다. 로그의 경로는 C:\Windows\System32\winevt\Logs이며 Application/Security/Setup/System 등이 대표적인 윈도우의 로그이다.(윈도우 vista 이상) 로그 저장 형태는 binary 및 XML이며 .evtx의 확장자명을 가진다. 이벤트 로그에서 얻을 수 있는 정보는 외부 IP로부터 로그인 정보, RDP연결, 프로세스 생성/삭제 로그, 힙 영역 손상, 서비스 설치, 시스템 전원 관리 등이 있다. 이를 위해 확인해볼 부분은 날짜, 시간, 사용자(이벤트 발생 시 로그온 되어있는 사용자 이름), 컴퓨터(이벤트 발생 컴퓨터 이름), 이벤트 ID(어떤 이벤트가 발생했는지 식별), 원본(프로그램, 시스템..
[Linux] 시스템 로그 분석
2019. 9. 13.
리눅스는 /var/log 디렉토리에서 시스템의 모든 로그를 기록 및 관리하며 일반적으로 텍스트 형식으로 저장된다. 시스템의 /etc/syslog.conf 파일에서 대부분의 시스템 로그파일들의 위치를 지정하며 간단한 문서 편집기나 cat 또는 less 명령어를 통해 내용을 확인할 수 있다. 그러나 일부 로그 파일(btmp, wtmp, ...)은 텍스트 형식이 아니다. 로그 파일은 시스템의 행위를 기록하기 때문에 일정 주기로 정리해주어야한다. 그렇지 않다면 로그 파일이 파일 시스템을 모두 차지하는 웃지못할 상황이 발생할 수 있다. 대표적인 로그 /dev/console - 커널에 관련된 내용이 시스템콘솔에 출력된다. messages 내용과 일치하지는 않지만 시스템에 관련된 중요한 내용들에 대한 로그를 관리자에..
[File System] 파일 시스템
2019. 9. 13.
파일시스템 개념 파일시스템은 쉽게 말해 데이터를 효과적으로 관리하기 위한 시스템이다. 컴퓨터에 저장되는 데이터가 많아지면서 파읽을 읽고 쓰고 하는데 많은 자원(resource)을 사용하게 되었다. 이에 따라 효율적인 파일 관리의 필요성이 대두되었고 파일시스템의 필요성이 높아졌다. 파일시스템 구조 Meta Area Data Area 파일 시스템은 대부분 메타영역과 데이터영역 두 가지 영역으로 구분된다. 메타영역은 일반적으로 데이터영역에 기록된 파일의 이름, 위치, 크기, 시간정보, 삭제유무 등이 구조적으로 저장되어 관리된다. 즉, 데이터영역에 기록된 파일들은 메타영역에 의해 정보를 얻을 수 있다. 파일시스템의 종류 윈도우 FAT(File Allocation Table) 하드디스크 내 컴퓨터 파일에 관련된 ..
ARP Spoofing
2019. 9. 11.
개인의 정보 보안 학습을 위해 작성되었습니다. 본 게시물을 불법적으로 활용하실 경우 혹은 본 게시물로 인해 발생하는 모든 문제에 대한 책임은 당사자에게 있으며, 작성자는 어떠한 법적 책임도 지지 않음을 밝힙니다. 해당 문서를 열람하는 것은 이에 대해 동의하는 것으로 간주합니다. ARP(Address Resolution Protocol) ARP는 간단하게 표현하면 IP주소를 MAC 주소로 대응(bind)시키기 위해 사용되는 프로토콜이다. 쉽게 이해하기 위해 예를 들어보면 IP호스트 A가 B에게 패킷을 전송하려고 할 때 B의 MAC 주소를 모른다면, ARP 프로토콜을 사용하여 목적지 IP 주소를 가지고 브로드캐스팅(FF:FF:FF:FF:FF:FF)을 하는 MAC 주소를 가진 ARP패킷을 네트워크 상에 전송하..
[pwnable.kr] Toddler's Bottle - flag 문제
2019. 9. 11.
문제 https://pwnable.kr/play.php https://pwnable.kr/play.php pwnable.kr 문제 풀이 - 문제에서 우선 reversing 이라는 힌트를 줬으니 packing 여부를 확인하자. +패킹을 모른다면 이 게시글을 통해 개념을 잡고 시작하자! https://bonggang.tistory.com/95?category=796789 packing과 unpacking Packing(실행 압축) 패킹(packing)은 쉽게 말해 코드의 압축을 뜻한다. 실행 압축이란 것은 실행 파일 내부에 코드를 압축, 해제하는 코드를 포함하고 있어서 평소에는 코드가 압축된 상태로 존재하다가 파일을 실.. bonggang.tistory.com - UPX로 패킹된 것을 확인했으니 Unpack..
packing과 unpacking
2019. 9. 11.
Packing(실행 압축) 패킹(packing)은 쉽게 말해 코드의 압축을 뜻한다. 실행 압축이란 것은 실행 파일 내부에 코드를 압축, 해제하는 코드를 포함하고 있어서 평소에는 코드가 압축된 상태로 존재하다가 파일을 실행 시킬 경우 압축이 풀어지며 정상적인 원본코드가 메모리에 적재되는 것이다. (이러한 이유로 메모리상에 올라간 코드를 덤프 떠서 리버싱하기도 한다) 패킹의 목적은 파일 사이즈 압축(Compress)과 원본 코드 보호(Protect) 크게 2가지로 나뉜다. Compressor의 경우 파일의 크기를 줄여 배포를 쉽게 하는 것이 주목적이기 때문에 악성코드에서 빠른 배포를 위해 자주 활용된다. 하지만 별다른 Anti-Reversing 기법이 적용되지 않아 언패킹이 쉽다. Protector의 경우 ..
[pwnable.kr] Toddler's Bottle - bof 문제
2019. 9. 10.
문제 https://pwnable.kr/play.php https://pwnable.kr/play.php pwnable.kr - nc: netcat의 줄임말, TCP/UDP 프로토콜을 사용하는 네트워크 연결에서 데이터를 읽고 쓸 수 잇는 가벼운 유틸리티 문제풀이 - 우선 문제에 제시된 파일들을 다운 받고 시작하자. wget http://pwnable.kr/bin/bof.c wget http://pwnable.kr/bin/bof - cat bof.c를 통해 코드를 살펴보자. #include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme);// smash me! if(key ..
이전 목록 [1] [···] [5] [6] [7] [8] [9] [10] 다음 목록

티스토리툴바