Bazinga!

snapshot작업하다가 뒤로 뒤돌려야 할 때 스냅샷 찍은곳으로 원상복귀 가능 ---  ---- (시스템 모니터링 도구)Autoruns프로그램을 통해의심스러운 네트워크 통신 있는지의심스러운 설치파일 있는지 부팅할때 실행되는 특정 경로에 있는지 이런것들을 이 도구를 통해 확인 가능 ----- 리버싱  exe파일은 혼자 실행되기 어려움 윈도우api필요윈도우 api 이 dll 에 저장되어있다. 변수 = 메모리 주소함수 = 코드 블록함수를 호출하고 실행한 결과는 eax 레지스터를 통해 전달된다. 구조환된 파일 포멧(PE, ELF 등등) -  그 파일을 읽어서 메모리에 맞게 로드해서 실행시켜줘야한다.로더를 통해 메모리에 로드 시켜준다.

back track5에서 이더넷 주소 확인/수정 창 열기 - gedit변경 후 적용하기 위해 아래 명령어를 입력해야한다.  -----------1. 원격 패스워드 대입공격 (스캔과 사전대입공격)- ftp 서비스 구동시켜놓기 - wiresharck 구동시키기(패킷 수집 목적) 공격에 사용할 사전 파일 작성 Medusa  툴을 이용한 Dictionary 공격 실습    rockyou.txt 대용량 파일을 이용해 위와 같은 원격 패스워트 대입공격을 한다.  2. 스니핑 공격 ICMP Redirect 이용한 스니핑 공격패킷이 나한테 왔으면 사용자(xp)는 응답을 받아야한다. 못받으면 사용자는 통신이 안된다고(문제가 생겼다고) 캐치.패킷이 나한테 오면 원래 목적지로 보내주는 fragrouter 새로운 창을 켜 위..

https://youtu.be/1S0aBV-Waeo?si=vF0ViXxAqscBe6UW버퍼 오버플로우란?낮은 수준의 메모리 공격이다.버퍼 오버플로우 공격은 아마도 낮은 수준의 c함수나 무언가를 사용하여 문자열이나 다른 변수를 특정 길이의 메모리 조각에 쓰는 상황이다.하지만 우리는 그보다 더 긴 내용을 쓰려고 할때 이후의 메모리 주소를 덮어쓰게 되어 모든 종류의 문제가 발생할수있 프로그램이 실행될 때 메모리에서 어떤 일이 일어날까?프로그램이 운영체제에 의해 실행될 때, 우리는 쉘에 있고 프로그램을 실행하기 위한 명령을 입력한다.운영체제는 코드의 기본 메소드를 함수로서 효과적으로 호출한다.그러나 실제 프로세스, 실행 파일은 매우 특정한 방식으로 메모리에 보관된다.서로 다른 프로세스 간에 일관된다. 함수란?무..

하나의 프로세스는 무조건 하나의 스레드를 갖는다.  1. F9를 통해 EIP로 이동2. 문자열 참조를 통해 분석해야 하는 코드를 찾아간다. --- how_to_use_dbg함수의 시작 위치 설정하고있음28만큼 스택 할당

----  ---eax = A 가 되면 ZF =1 jne 실행되어 함수 벗어난다.   ------ 포인터 402000이 갖고있는 값을 가져온다.

존아이디zone id가 있기 때문에 다른컴퓨터에서 온것을 알 수 있다    파일 아이콘에 ...있는것은 자식이 있다는것   explore recursively를 들어간다Ext. 오름차순 시킨다음 identi- 치면 identifier들이 나온다디렉토리 브라우저로 들어간다fullpath수정존아이디가 남아있다는것은 외부에서 다운받았을 확률이 크다

어느날 홈페이지 서버에 설치되어있는 백신이 악성코드를 탐지악성코드는 생성일자가 조작되어있음홈페이지 취약점을 통해 악성코드가 생성되었을 것을 의심웹 로그 분석을 통해 공격자의 침투 정황이 존재하는지 확인 필요웹 서버는 결론적으로 해킹되어있는 상태였다.질문 : 홈페이지 서버 웹로그에는 침해사고와 관련된 정황이 존재하는가?\ 생각생각생각뭔가 장악한(스캔한) 흔적이 있을것 77.68.61.94 의심된다 527번         해설77.68.61.94 가 계속 접근했던 /bbs//vote.php 가 보인다.갑자기 수가 뛴 /bbs/data/wtinst.php 도 보인다 웹셸을 찾았다추적해야함------------- -> /bbs/lib.php(프레임워크 디폴트 페이지) 로 수상한 문구를 GET요청 - chr() ..

웹 로그를 보고 웹셸을 찾아볼것이다.(해커가 통제하지 못하는 구간임)  서버 담당자가 웹 로그를 설정하지 않을경우를 제외하고는 무조건 웹 로그에 웹셸이 찍힌다. 방어자 관점에서 알아야 하는 웹셸의 특징1. 웹셸에 접근할 수 있는 경로는 오직 공격자만 알고 있다.2. 웹셸 파일에 접근한 이력이 있는 IP는 모두 공격과 관련이 있다.3. 공격자는 웹셸 파일에만 지속 접근한다. 그리고 대부분 POST 방식이다.  ------------------실습1

경향성을 보는 것 175.209.132.54125.129.155.88두개를 공격IP로 생각해볼수있다. 뭔가 많다는건 초당으로 봤을때 많아야한다.18시에 8000번대는 많다고 단정지을 수 없다17시 58분에 1400번도 많다고 단정지을 수 없다18:40:48 - 48초대에 30번 정도는 많다고 할 수 있다. 초당 2번 -> 논리 떨어짐하루 기준으로 분산되어있음 -> 논리 떨어짐    --------------\[timestamp] [사설ip] [어떤 dns서버에 요청했는지] [dns포트] [접속하려는 도메인] [레코드타입]   갑자기 팍 튀는 값을 볼 수 있다.정상 도메인    dns질의를 엄청많이했는데 정작 9군데에만질의를 많이 함시간대비 질의를 얼마나 많이 할까?지속적으로 비슷한 분포로하고있다는 것을 ..

1. 누가 접속했는지 알 수 있다.  2. timestemp [ ] 로그에 시간이 장비에 제대로 설정되어있는지 중요하다.[ +0900] 한국시간이냐 아니냐  3. 어디에 접근했는지 알 수 있다.  4. GET - 특정 페이지 접근POST - 데이터를 서버 측에 전송 파라미터는 글자수에 제한이 있어서 GET방식으로 구현하기 어렵다.POST는글자 수 제한이 없어 해킹사고는 post방식에서 많이 발생한다. 5. 서버 상태 코드ex ) 200 http 응답 코드 6. 서버 응답 바이트 수  -------------------------- cat cut grep sort uniq awk1. cut 공백 기준으로   2. 어떤 ip가 가장 많이 접속했는지 볼 때sort 오름차순sort -rn 내림차순 uniq 중복..