태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Microsoft'에 해당되는 글 5건

  1. 2009.07.23 IIS 로그 포렌식
  2. 2009.07.22 MS Windows에서 3GB이상 메모리 영역을 RAM Disk로 활용하는 방법
  3. 2009.07.07 MS 비디오 스트리밍 ActiveX 컨트롤 취약점 주의
  4. 2009.06.30 Microsoft 무료 AV - morro
  5. 2009.06.12 마이크로소프트 자격증, 무료로 따기!!

IIS 로그 포렌식

ⓔ Forensic 2009.07.23 00:25

주어진 로그파일들을 쉽게 분석하는 방법이 없을까란 생각에 검색창에 'iis 포렌식'을 입력하는 순간!!

주루루루루룩 나온다...ㅡ,.ㅡ;


우선 log parser라는 툴밖에 안보인다.

- Log Parser 2.2 다운로드


visual log parser를 발견하였다.

- visual log parser 다운로드


로그 포렌식에 관한 포스팅을 유명 블로거분들이 이미 예전에 올리셨다. 완소 자료에 감사드린다.

- coderant님의 Logparser를 이용한 IIS 로그 Forensic 방법  
- 용기백배님의 LogParser as Forensic Tool 1 : LogParser의 소개와 개념
- 헐랭이님의 대량 SQL injection 악성코드 로그 추출하기


검색해보니 찾기 어려워 올리는 질문인데...

IIS의 설정 파일이 따로 존재하는가? 이다.

(있을듯 한데...없으면 실망이 클듯함^^;)


아래 자료는 참조 및 붙여넣기(ctrl+v)하기 쉽게 coderant님 포스팅을 덮썩 퍼왔다. 일일이 다 해보고 안되는 것들 몇가지 수정하였다.

----------------------------------------------------------------------------------------

1) 가장 최근에 생성된 시간을 기준으로 ASP 스크립트를 변조한 Trojan Files 여부를 진단
 
C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 


2). 가장 최근에 수정된 Files 로그 찾기

C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1   
  
3). 해커가 Trojan Files을 삭제한 경우에 HTTP 200 서버코드 흔적 로그를 찾는다.
 
C:\logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1   
  
* nc.exe, tini.exe, root.exe, cmd.exe, upload.asp, aspexec.asp, cmd.asp 같은 파일 이름이 있으면 의심

4) Script Abuse 분석(가장 많은 Request 요청을 받은 Executable 파일의 확장자 확인)

C:\logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attributes NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 

* 특히, .ASP, .DLL 파일 요청을 유심히 봐야함
* C:\inetpub\scripts -> scripts 또는 adminscripts

5) HTTP 서버 500 에러코드 검사

C:\logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
 

6) 가장 많은 Request Hit 수(hit수가 높은 ASP, DLL 파일 확인)

C:\logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total from ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 

7) 시간당 에러수가 가장 많이 발생한 날짜 확인
  
C:\logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Error FROM ex*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Error>25 ORDER BY Error DESC" -rtp:-1

* 25개 이상의 에러코드(404코드)를 발생한 날짜와 시간 결과를 출력

8) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
  
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

9) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
 
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

10)  모든 ASP 에러 기록 확인
  
C:\logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 

* 특히, ODBC와 ADO 에러는 SQL Injection 가능성이 있으므로 주의깊게 살펴봐야 함

11) 스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인
  
C:\logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 

12) Win32 Status Code 분석을 통한 Attack 확인
  
C:\logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
 

13) HTTP Method 통계 분석
  
C:\logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1

-----------------------------------------------------------------------------------------

'ⓔ Forensic' 카테고리의 다른 글

DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
Trackbacks 0 : Comments 0

Write a comment


MS Windows에서 3GB이상 메모리 영역을 RAM Disk로 활용하는 방법

┃ Windows 2009.07.22 09:53

출처 : http://novrain.egloos.com/1754771

퍼옴...


____________________________________________________________________________________________________________

반도체 기술의 발전으로 메모리 가격은 많이 저렴해졌습니다. 1990년 중반에는 1MB당 3~5만원 정도 했었는데 지금은 1MB당 22.5원(삼성 1GB PC2-5300 DDR2 기준)으로 매우매우 저렴해졌습니다. 따라서 조금 여유가 있으면 얼마든지 메모리를 많이 확보할 수 있습니다. 하지만 32Bit MS Windows XP/Vista는 아무리 많은 메모리를 확보하더라도 3GB 까지만 사용할 수 있습니다. MS의 문서인 '4GB의 RAM이 설치되어 있는 경우 Windows Vista의 시스템 정보 대화 상자에 보고되는 시스템 메모리가 예상한 것보다 작다'에서 보듯이 4GB를 모두 사용하기 위해서는 64Bit 운영체제를 사용해야만 합니다. 따라서 3GB 이상 나머지 메모리는 아예 사용할 수 없습니다.


4GB 메모리 또는 그 이상의 메모리가 있는 MS Windows에서 사용하지 않는 메모리를 RAM Disk로 사용하는 방법이 있습니다. 기존의 RAM Disk는 Windows가 확보한 메모리 중 일부를 가상 디스크처럼 사용하기 때문에 실제 사용할 수 있는 메모리가 줄어드는 문제점이 있었습니다. 하지만 다음에 소개하는 방법은 Windows가 사용하지 않는 메모리를 RAM Disk로 사용하기 때문에 메모리를 매우 효율적으로 사용할 수 있습니다. 특히 Windows나 웹 브라우저의 임시 파일을 RAM Disk에서 저장하면 시스템의 속도도 조금이나마 빨라질 뿐만 아니라 HDD의 단편화 문제도 어느정도 해결할 수 있습니다.

Windows XP에서는 먼저 [시스템 등록 정보] → [고급] → 시작 및 복구 항목에서 [설정] 버튼을 누른 다음에 [편집] 버튼을 누르거나 메모장에서 C:\boot.ini 파일을 열어 /PAE 옵션을 추가합니다. PAE 옵션은 MS의 '4GB RAM 조정 기능 및 PAE(실제 주소 확장) 스위치에 대한 설명' 문서를 참고하기 바랍니다.


Windows Vista에서는 [시작] → [실행]을 선택한 다음에 cmd를 실행한 후 bcdedit /set pae forceenable 를 입력합니다. VIsta에서 PAE 설정 방법은 MSDN의 Physical Address Extension 문서와 BCDEdit /set 문서를 참고하기 바랍니다.



다음으로 Gavotte Ramdisk에서 rramdisk.zip 파일을 다운 받습니다. 참고로 이 프로그램은 프리웨어입니다. 적당한 폴더에 압축을 해제한 다음에 ram4g.reg 파일을 레지스트리에 등록합니다.


ramdisk.exe
파일을 실행한 다음에 [Install Ramdisk] 버튼을 누릅니다.


다음으로 RAM Disk의 용량, 드라이브 위치, 드라이브 형태를 설정합니다. 여기에서 드라이브 형태(Media Type)는 반드시 'Fixed Media'로 설정하기 바랍니다. (기본값임) 다른 형태로 선택하면 RAM Disk가 비정상적으로 만들어 질 수 있습니다. 전 RAM Disk의 크기는 1GB로, 드라이브 위치는 Z로 설정했습니다. 설정이 끝나면 [OK]나 [Apply]를 누릅니다. 시스템 사정에 따라서 바로 RAM Disk가 적용되거나 재부팅 해야만 적용되는 경우가 있습니다.


이제 Windows의 임시 파일을 RAM Disk로 설정할 차례입니다. [시스템 등록 정보] → [고급] → [환경 변수] 버튼을 누른 다음에 사용자와 시스템 변수에서 TEMP와 TMP 변수의 값은 RAM Disk의 Temp 폴더로 입력합니다. 참고로 RAM Disk에는 기본으로 'Temp' 폴더가 생성됩니다.


이제 시스템을 재부팅하면 RamDisk가 만들어진 것과, RamDisk 안에 Temp 폴더가 있는 것을 확인할 수 있습니다.


마지막으로 웹 브라우저의 임시 폴더의 위치를 변경합니다. Mozilla FireFox는 사용자 프로필 폴더에서 prefs.js 파일에 다음 내용을 추가합니다. 여기서 주의할 점은 경로를 \\로 구분해야 합니다.

user_pref("browser.cache.disk.parent_directory", "Z:\\Temp\\Temporary Firefox Files");

Windows Internet Explorer 7은 [도구] → [인터넷 옵션] → 검색 기록에서 [설정] 버튼을 누른 다음에 [폴더 이동] 버튼을 누른 후 RamDisk의 Temp 폴더를 선택합니다.


시스템 등록 정보를 보면 메모리 크기는 변하지 않았지만, Windows 작업 관리자로 보면 RAM Disk가 Windows 메모리에 할당하지 않은 것을 확인할 수 있습니다. 실제 사용자 메모를 확보하는 것이 아니지만 Windows가 사용하지 않는 메모리 영역을 RAM Disk로 사용할 수 있으며, 임시 파일을 이곳에 할당하면 보다 빠르고 쾌적하게 Windows를 사용할 수 있을 것입니다.



ps. 이 새벽에 내가 뭘 한 것이지... 빨리 논문 써야 겠다.
ps. 32Bit Windows XP/Vista는 무슨 수를 쓰더라도  3GB까지만 사용할 수 있습니다. 이 방법은 나머지 메모리를 가상 드라이브로 설정하는 방법입니다. 3GB 이상 메모리를 사용하고 싶으면 64Bit Windows XP/Vista를 설치하는지 UNIX 계열(Linux, Solaris 등)을 설치해야 합니다.
ps. bz님이 제공하신 정보로 Windows Vista에서 PAE 설정하는 방법을 추가하였습니다.


2008/11/12 추가
Windows Internet Explorer나 Fire Fox에서 램디스크 이상의 파일을 다운 받을 경우에는 TEMP와 TMP를 HDD의 임시 폴더로 지정한 다음에 재부팅해야만 다운로드가 가능합니다. 이 부분은 불편하더라도 환경 변수를 바꾸는 방법 외에는 없습니다.

PhotoShop과 같이 임시 폴더를 과도(?)하게 사용하는 프로그램을 주로 사용한다면 64bit OS로 없그레이드 하든지 아니면 램디스크를 TEMP와 TMP로 설정하지 마시기 바랍니다. 단, 5장 정도 사진 편집같이 간단한 작업은 램디스크가 더 효율적입니다.

Trackbacks 0 : Comments 0

Write a comment


MS 비디오 스트리밍 ActiveX 컨트롤 취약점 주의

ⓤ System 2009.07.07 22:58

비디오 스트리밍 activex 컨트롤에 버퍼오버플로우 취약점이 발견되었다네요.

자세한 내용은 아래 링크를 참조하세요.


KISA : http://www.krcert.or.kr/index.jsp

xiang 블로그 : http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1420.entry

 

Trackbacks 0 : Comments 0

Write a comment


Microsoft 무료 AV - morro

┃ Application 2009.06.30 12:03



현재 마이크로소프트에서 자사 운영체제 윈도우에 기본 탑재(맞나?)할 무료 AV 프로그램인 morro를 개발 중에 있죠.

유출된 morro의 스샷을 볼 수 있습니다.

http://arstechnica.com/microsoft/news/2009/06/leaked-microsoft-security-essentials-codename-morro.ars

morro가 배포된다면 국내 무료 백신 프로그램들에게는 피해가 갈 것으로 보이네요.

또한 시간이 지나면 마이크로소프트의 엄청난!?? 네트워크를 통한 정보(샘플) 수집을 통해 좋아질 수 있을 거라고도 봅니다.
Trackbacks 0 : Comments 0

Write a comment


마이크로소프트 자격증, 무료로 따기!!

┃ Windows 2009.06.12 09:43
어떤 파코즌님이 알려주시더라구요.

http://www.parkoz.com/zboard/view.php?id=my_tips&page=1&sn1=&divpage=3&sn=off&ss=on&sc=off&select_arrange=headnum&desc=asc&no=12985

참고하세요.

p.s. 윈도우즈 설치 자격증도 있는건 멍미...ㅋㅋ
Trackbacks 0 : Comments 0

Write a comment