보안,IT 기록

보완하여 업로드하였음. 기초 분석 Virustotal에 악성 샘플을 업로드하였을 때 - 68개의 백신 중 58개의 백신에서 악성코드라고 진단하였다. - Win32를 통해 Window 환경에서 실행되는 파일형태임을 추정하였다. - 많은 백신이 Backdoor,Trojan 으로 악성코드 진단을 하였다. - 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 설치된 통신 연결 기능인 백도어와 정상적인 파일로 위장하여 악의적인 기능을 수행하는 트로이 목마 성격을 가지고 있었다. -Window 환경의 실행파일(exe)을 확인할 수 있다. -PEiD 툴을 통해서 SVKProtector로 패킹이 되어 있고 UPX로 한번 더 패킹이 되어있는 것 같다고 추측해볼 수 있었다. -vbscript.dll,..

보완하여 업로드하였음. 기초분석 Virustotal에 악성 샘플을 업로드하였을 때 - 69개의 백신 중 45개의 백신에서 악성코드라고 진단하였다. - Win32를 통해 Window 환경에서 실행되는 파일형태임을 추정하였다. - 악성코드 진단명은 Trojan,adware,Downloader 등이 있다. - 트로이 목마 성격과 광고 목적의 애드웨어, 인터넷 등을 통해 다운로드도 할 수도 있을 것이라고 추정하였다. -MD5, SHA-1, SHA-256 등 여러 해시 암호화 알고리즘 종류의 Hash 값과 파일타입, 사이즈를 확인할 수 있다. -Window 환경의 실행파일(exe)을 확인할 수 있다. -해당 파일은 PEiD packer 부분에 microsoft visual c++로 되어 있는 것으로 보아 패킹이 ..

악성샘플 분석을 위하여 로컬 환경이 아닌 윈도우와 동일한 가상환경 구성하였다. Vmware에서 가상환경 Windows 7 설치 Vmware 설치 후 Home에서 Create a new virtual machine 을 클릭 Typical 선택한다. ( 사용자 지정 모드로 하나하나 설정해줘야 하는 custom과 달리 쉽게 구성 가능) 다음으로 게스트 운영체제 설치방법으로 두번째 disc image file 탭을 클릭하여 윈도우 7이 있는 ISO 파일을 넣어 설치를 진행하였다. ''' ISO파일은 많은 파일이나 폴더를 하나의 파일에 넣어 놓은 것을 말한다. ISO파일은 디스크의 이미지를 가지고 있다 말하는데 디스크 안에 있던 모든 파일과 폴더들을 모두 포함하고 있다는 뜻이다. 다른 말로 CD나 DVD의 완벽한..

목적 : 매일 글쓰기 습관을 만들고 기록과 공유를 통해서 기억을 상기시키고생각 안날 때 바로바로 찾을 수 있도록 하기 위해서요약 출처 : 모두의 네트워크 - 길벗   웹 사이트에 방문했을 때 이루어지는 전체적인 데이터 처리 과정컴퓨터,스위치, 라우터,웹서버로 구성된 네트워크 (위 그림은 총 3개의 네트워크로 나누어짐)응용계층은 세션계층과 표현계층을 포함한다. '''공용(공인) IP는 라우터에만 할당하고랜의 네트워크 관리자가 랜 안에 있는 컴퓨터는 사설 IP를 할당하거나 라우터의 DHCP 기능을 사용하여 주소를 자동으로 할당 라우터(공유기)는 공용IP (WAN측)가 있고라우터 역시 네트워크의 일부이기 때문에 사설IP (LAN측)도 존재'''컴퓨터에서의 OSI 모델의 캡슐화 (3-hand shake는 이미 ..

목적 : 매일 글쓰기 습관을 만들고 기록과 공유를 통해서 기억을 상기시키고 생각 안날 때 바로바로 찾을 수 있도록 하기 위해서 요약 출처 : 모두의 네트워크 - 길벗 클라이언트측 애플리케이션(웹브라우저, 메일 프로그램, FTP 클라이언트 등) 과 서버측 애플리케이션과 통신(웹서버, 메일서버, FTP 서버 등) 위해 = > 응용 계층의 프로토콜 사용 HTTP 웹 사이트를 보기위해 웹 브라우저는 웹서버의 80번 포트를 사용하여 HTTP 통신을 한다. HTTP 요청(GET/index.html HTTP/1.1) GET 이라는 요청 메소드/ 파일 이름/ 버전 등을 서버에 전송 HTTP 응답(HTTP/1.1 200 OK ) 요청을 정상적으로 처리함 -------------------------------------..

정적 컨텐츠 (Static)누가 언제 서버에 요청하더라도 동일하게 내용을 보여주는 것 Html, Css, Js, Image 같은 요소들로 이미 만들어진 결과물을 사용자에게 보여주는 것쿠팡의 상단 카테고리바, 유튜브 로고 등  동적 컨텐츠 (Dynamic)누가 언제 어떻게 서버에 요청했는지에 따라 다른(변화하는) 내용이 보여지는 것어떤 사용자가, 언제, 어떤 기기로 접속했는지에 따라 웹페이지가 달라지는 데이터PHP, JSP 파일등 데이터의 처리가 필요하다.쿠팡의 장바구니, 유튜브 맞춤 채널 등   '''정적파일, 정적 페이지, 동적 페이지 등  비슷한 개념으로 이해함.''' 웹서버클라이언트가 요청한 정적인 콘텐츠를 HTTP 프로토콜을 통하여 제공해주는 서버1.정적인 콘텐츠 제공2. 동적인 요청이 클라이언트..

목적 : 매일 글쓰기 습관을 만들고 기록과 공유를 통해서 기억을 상기시키고 생각 안날 때 바로바로 찾을 수 있도록 하기 위해서 요약 출처 : 모두의 네트워크 - 길벗 출발지 포트 번호(16비트) 목적지 포트 번호(16) 일련번호(32) 확인 응답 번호(32) 헤더길이(4) 예약영역(6) 코드비트(6) 윈도우 크기(16) 체크 섬(16) 긴급 포인터(16) - - 옵 션 - 윈도우 크기 (Window size) 세그먼트를 하나 보낼 때마다 확인 응답이 아닌 연속해서 보내고 난 다음 확인 응답을 받으면 효율이 높아진다. 그래서 받은 세그먼트를 일시적으로 보관하는 장소인 버퍼(buffer)가 있다. 대량으로 데이터가 전송되면 보관하고 넘쳐 버리는데 이것을 오버플로(overflow)라고 한다. 버퍼의 한계 크기..

프로토콜 = 통신규약통신을 하기 위해 서로 정한 약속​ 7계층7-1. HTTP Hyper text transfer protocolhttp는 서버 클라이언트 모델에 따라 데이터를 주고받기 위한 프로토콜인터넷에서 보여지는 여러가지 이미지 텍스트 정보들을 제공​ 암호화가 아닌 평문을 이용해서 통신한다는 취약성80번 포트 사용​7-2. HTTPS는 개인정보,금융정보등 민감정보를 다루는 페이지에서 적용 그 외에는 HTTP를 통해서 운영하고 있는 페이지들이 존재 443번 포트 사용SSL이라는 인증서를 사용하여 암호화된 통신을 한다.(네트워크 패킷들을 확인할 때 HTTP로 통신을 하면 모든 패킷이 평문으로 보여진다.HTTPS로 통신을 하면 IP와 포트 번호는 보이지만 그 안에 해당하는 데이터 영역은 암호화 되어 있어..

악성코드 분석 시 기초 분석, 정적 분석, 동적 분석 순으로 진행 그 결과와 결론, 결론에 대한 대응 방안,예방법 등을 작성=> 악성코드 분석보고서 악성코드가 가지고 있는 네트워크 관련 특징을 파악을 해서 탐지패턴을 만들어 보안장비에 넣어 같은 악성코드 공격이 들어왔을 때 탐지가 가능하도록 만드는 것도 악성코드 분석의 하나임. (리버싱은 어셈블리어 언어 등 깊이 알아야함) 정적 분석 악성코드를 실행시키지 않은 상황에서 그 자체가 가지고 있는 속성을 분석하는 것 정적분석방법 1. 패킹여부 확인 정적 분석에서 가장 먼저 해줘야 하는 것은 파일을 실행하지 않은 상태에서 원하는 형태로 분석하기 위해 암호화가 되어있는지를 확인 공격자들은 악성코드의 코드를 분석하기 어렵게 하기 위해 패킹(암호화기법)이라는 방법을 ..

Apache Web Server , MySQL(MariaDB), PHP, Perl 의 X(Cross Flatform) 으로 웹서버 구축을 위한 개발도구들을 하나로(패키지) 묶어 편리하고 효율적으로 웹서버를 구성할수 있도록 도와주는 프로그램 APM? Apache 오픈 소스 소프트웨어로 Apache 재단에서 만들어진 웹 서버 소스코드까지 무료로 사용이 가능하다는 장점 사용자의 요청이 있을 경우 php 를 실행시키는 역할 웹 서버는 소프트 웨어로 크롬이나 익스플로러 같은 웹 브라우저로부터 HTTP 요청을 받아들이고 , HTML 문서와 같은 웹 페이지에서 흔히 찾아 볼 수 있는 자료 컨텐츠에 따라 HTTP 응답을 해주는 프로그램이다. ''' 웹 서버의 주된 기능은 웹 페이지를 클라이언트에게 전달하는 것이다 . ..