태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Windows'에 해당되는 글 6건

  1. 2011.03.15 윈도우7 인터넷 속도 제한 해제(윈도우7 QOS 설정)
  2. 2011.03.12 Windows7 빠른실행 영역 경로
  3. 2009.07.31 윈도우 제어 유틸리티 (WindowsMonkey2)
  4. 2009.07.23 IIS 로그 포렌식
  5. 2009.07.22 MS Windows에서 3GB이상 메모리 영역을 RAM Disk로 활용하는 방법
  6. 2009.05.06 Windows 7 가상화 지원 CPU

윈도우7 인터넷 속도 제한 해제(윈도우7 QOS 설정)

┃ Windows 2011.03.15 08:10
출처 : http://pips.wo.tc/1021

<첫번째 방법>

윈도우키+R (실행)을 눌러서 "gpedit.msc"

컴퓨터 구성 > 관리 템플릿 > 네트워크 > Qos 패킷 스케줄러에서 예약 대역폭 제한을 더블클릭

"사용"으로 변경,  대역폭 제한(%)을 20에서 0으로 변경 후 "적용"


<두번째 방법>
관리자 권한으로 cmd 실행

regsvr32 actxprxy.dll 입력

성공 메세지 확인


<세번째 방법>

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Multimedia >SystemProfieNetworkThrottlingIndex 더블클릭

최대치 값인 46(16진수), 10진수로는 70을 입력하고 확인
Trackbacks 0 : Comments 0

Write a comment


Windows7 빠른실행 영역 경로

┃ Windows 2011.03.12 23:26

C:\Users\사용자 아이디\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch

Trackbacks 0 : Comments 0

Write a comment


윈도우 제어 유틸리티 (WindowsMonkey2)

ⓟ Software 2009.07.31 11:55

인터넷 브라우저에 툴바가 있듯이 윈도우에도 툴바가 있네요.

기능 보면 쩝니다..ㅠ

젤 신기한건...비활성화 버튼을 활성화 시키는 기능입니다.


http://www.parkoz.com/zboard/view.php?id=my_tips&page=1&sn1=&divpage=3&sn=off&ss=on&sc=off&keyword=%C0%A9%B5%B5%BF%EC&select_arrange=headnum&desc=asc&no=12842

'ⓟ Software' 카테고리의 다른 글

Synergy 통신을 SSH로 암호화하기  (0) 2010.04.02
wget 활용  (0) 2010.03.09
윈도우 제어 유틸리티 (WindowsMonkey2)  (0) 2009.07.31
멀티 클립보드 - 치치(CLCL)  (3) 2009.07.31
해쉬 계산기  (0) 2009.07.18
시원하게 우회하자! - UltraSurf  (1) 2009.06.24
Trackbacks 0 : Comments 0

Write a comment


IIS 로그 포렌식

ⓔ Forensic 2009.07.23 00:25

주어진 로그파일들을 쉽게 분석하는 방법이 없을까란 생각에 검색창에 'iis 포렌식'을 입력하는 순간!!

주루루루루룩 나온다...ㅡ,.ㅡ;


우선 log parser라는 툴밖에 안보인다.

- Log Parser 2.2 다운로드


visual log parser를 발견하였다.

- visual log parser 다운로드


로그 포렌식에 관한 포스팅을 유명 블로거분들이 이미 예전에 올리셨다. 완소 자료에 감사드린다.

- coderant님의 Logparser를 이용한 IIS 로그 Forensic 방법  
- 용기백배님의 LogParser as Forensic Tool 1 : LogParser의 소개와 개념
- 헐랭이님의 대량 SQL injection 악성코드 로그 추출하기


검색해보니 찾기 어려워 올리는 질문인데...

IIS의 설정 파일이 따로 존재하는가? 이다.

(있을듯 한데...없으면 실망이 클듯함^^;)


아래 자료는 참조 및 붙여넣기(ctrl+v)하기 쉽게 coderant님 포스팅을 덮썩 퍼왔다. 일일이 다 해보고 안되는 것들 몇가지 수정하였다.

----------------------------------------------------------------------------------------

1) 가장 최근에 생성된 시간을 기준으로 ASP 스크립트를 변조한 Trojan Files 여부를 진단
 
C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 


2). 가장 최근에 수정된 Files 로그 찾기

C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1   
  
3). 해커가 Trojan Files을 삭제한 경우에 HTTP 200 서버코드 흔적 로그를 찾는다.
 
C:\logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1   
  
* nc.exe, tini.exe, root.exe, cmd.exe, upload.asp, aspexec.asp, cmd.asp 같은 파일 이름이 있으면 의심

4) Script Abuse 분석(가장 많은 Request 요청을 받은 Executable 파일의 확장자 확인)

C:\logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attributes NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 

* 특히, .ASP, .DLL 파일 요청을 유심히 봐야함
* C:\inetpub\scripts -> scripts 또는 adminscripts

5) HTTP 서버 500 에러코드 검사

C:\logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
 

6) 가장 많은 Request Hit 수(hit수가 높은 ASP, DLL 파일 확인)

C:\logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total from ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 

7) 시간당 에러수가 가장 많이 발생한 날짜 확인
  
C:\logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Error FROM ex*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Error>25 ORDER BY Error DESC" -rtp:-1

* 25개 이상의 에러코드(404코드)를 발생한 날짜와 시간 결과를 출력

8) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
  
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

9) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
 
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

10)  모든 ASP 에러 기록 확인
  
C:\logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 

* 특히, ODBC와 ADO 에러는 SQL Injection 가능성이 있으므로 주의깊게 살펴봐야 함

11) 스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인
  
C:\logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 

12) Win32 Status Code 분석을 통한 Attack 확인
  
C:\logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
 

13) HTTP Method 통계 분석
  
C:\logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1

-----------------------------------------------------------------------------------------

'ⓔ Forensic' 카테고리의 다른 글

DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
Trackbacks 0 : Comments 0

Write a comment


MS Windows에서 3GB이상 메모리 영역을 RAM Disk로 활용하는 방법

┃ Windows 2009.07.22 09:53

출처 : http://novrain.egloos.com/1754771

퍼옴...


____________________________________________________________________________________________________________

반도체 기술의 발전으로 메모리 가격은 많이 저렴해졌습니다. 1990년 중반에는 1MB당 3~5만원 정도 했었는데 지금은 1MB당 22.5원(삼성 1GB PC2-5300 DDR2 기준)으로 매우매우 저렴해졌습니다. 따라서 조금 여유가 있으면 얼마든지 메모리를 많이 확보할 수 있습니다. 하지만 32Bit MS Windows XP/Vista는 아무리 많은 메모리를 확보하더라도 3GB 까지만 사용할 수 있습니다. MS의 문서인 '4GB의 RAM이 설치되어 있는 경우 Windows Vista의 시스템 정보 대화 상자에 보고되는 시스템 메모리가 예상한 것보다 작다'에서 보듯이 4GB를 모두 사용하기 위해서는 64Bit 운영체제를 사용해야만 합니다. 따라서 3GB 이상 나머지 메모리는 아예 사용할 수 없습니다.


4GB 메모리 또는 그 이상의 메모리가 있는 MS Windows에서 사용하지 않는 메모리를 RAM Disk로 사용하는 방법이 있습니다. 기존의 RAM Disk는 Windows가 확보한 메모리 중 일부를 가상 디스크처럼 사용하기 때문에 실제 사용할 수 있는 메모리가 줄어드는 문제점이 있었습니다. 하지만 다음에 소개하는 방법은 Windows가 사용하지 않는 메모리를 RAM Disk로 사용하기 때문에 메모리를 매우 효율적으로 사용할 수 있습니다. 특히 Windows나 웹 브라우저의 임시 파일을 RAM Disk에서 저장하면 시스템의 속도도 조금이나마 빨라질 뿐만 아니라 HDD의 단편화 문제도 어느정도 해결할 수 있습니다.

Windows XP에서는 먼저 [시스템 등록 정보] → [고급] → 시작 및 복구 항목에서 [설정] 버튼을 누른 다음에 [편집] 버튼을 누르거나 메모장에서 C:\boot.ini 파일을 열어 /PAE 옵션을 추가합니다. PAE 옵션은 MS의 '4GB RAM 조정 기능 및 PAE(실제 주소 확장) 스위치에 대한 설명' 문서를 참고하기 바랍니다.


Windows Vista에서는 [시작] → [실행]을 선택한 다음에 cmd를 실행한 후 bcdedit /set pae forceenable 를 입력합니다. VIsta에서 PAE 설정 방법은 MSDN의 Physical Address Extension 문서와 BCDEdit /set 문서를 참고하기 바랍니다.



다음으로 Gavotte Ramdisk에서 rramdisk.zip 파일을 다운 받습니다. 참고로 이 프로그램은 프리웨어입니다. 적당한 폴더에 압축을 해제한 다음에 ram4g.reg 파일을 레지스트리에 등록합니다.


ramdisk.exe
파일을 실행한 다음에 [Install Ramdisk] 버튼을 누릅니다.


다음으로 RAM Disk의 용량, 드라이브 위치, 드라이브 형태를 설정합니다. 여기에서 드라이브 형태(Media Type)는 반드시 'Fixed Media'로 설정하기 바랍니다. (기본값임) 다른 형태로 선택하면 RAM Disk가 비정상적으로 만들어 질 수 있습니다. 전 RAM Disk의 크기는 1GB로, 드라이브 위치는 Z로 설정했습니다. 설정이 끝나면 [OK]나 [Apply]를 누릅니다. 시스템 사정에 따라서 바로 RAM Disk가 적용되거나 재부팅 해야만 적용되는 경우가 있습니다.


이제 Windows의 임시 파일을 RAM Disk로 설정할 차례입니다. [시스템 등록 정보] → [고급] → [환경 변수] 버튼을 누른 다음에 사용자와 시스템 변수에서 TEMP와 TMP 변수의 값은 RAM Disk의 Temp 폴더로 입력합니다. 참고로 RAM Disk에는 기본으로 'Temp' 폴더가 생성됩니다.


이제 시스템을 재부팅하면 RamDisk가 만들어진 것과, RamDisk 안에 Temp 폴더가 있는 것을 확인할 수 있습니다.


마지막으로 웹 브라우저의 임시 폴더의 위치를 변경합니다. Mozilla FireFox는 사용자 프로필 폴더에서 prefs.js 파일에 다음 내용을 추가합니다. 여기서 주의할 점은 경로를 \\로 구분해야 합니다.

user_pref("browser.cache.disk.parent_directory", "Z:\\Temp\\Temporary Firefox Files");

Windows Internet Explorer 7은 [도구] → [인터넷 옵션] → 검색 기록에서 [설정] 버튼을 누른 다음에 [폴더 이동] 버튼을 누른 후 RamDisk의 Temp 폴더를 선택합니다.


시스템 등록 정보를 보면 메모리 크기는 변하지 않았지만, Windows 작업 관리자로 보면 RAM Disk가 Windows 메모리에 할당하지 않은 것을 확인할 수 있습니다. 실제 사용자 메모를 확보하는 것이 아니지만 Windows가 사용하지 않는 메모리 영역을 RAM Disk로 사용할 수 있으며, 임시 파일을 이곳에 할당하면 보다 빠르고 쾌적하게 Windows를 사용할 수 있을 것입니다.



ps. 이 새벽에 내가 뭘 한 것이지... 빨리 논문 써야 겠다.
ps. 32Bit Windows XP/Vista는 무슨 수를 쓰더라도  3GB까지만 사용할 수 있습니다. 이 방법은 나머지 메모리를 가상 드라이브로 설정하는 방법입니다. 3GB 이상 메모리를 사용하고 싶으면 64Bit Windows XP/Vista를 설치하는지 UNIX 계열(Linux, Solaris 등)을 설치해야 합니다.
ps. bz님이 제공하신 정보로 Windows Vista에서 PAE 설정하는 방법을 추가하였습니다.


2008/11/12 추가
Windows Internet Explorer나 Fire Fox에서 램디스크 이상의 파일을 다운 받을 경우에는 TEMP와 TMP를 HDD의 임시 폴더로 지정한 다음에 재부팅해야만 다운로드가 가능합니다. 이 부분은 불편하더라도 환경 변수를 바꾸는 방법 외에는 없습니다.

PhotoShop과 같이 임시 폴더를 과도(?)하게 사용하는 프로그램을 주로 사용한다면 64bit OS로 없그레이드 하든지 아니면 램디스크를 TEMP와 TMP로 설정하지 마시기 바랍니다. 단, 5장 정도 사진 편집같이 간단한 작업은 램디스크가 더 효율적입니다.

Trackbacks 0 : Comments 0

Write a comment


Windows 7 가상화 지원 CPU

┃ Windows 2009.05.06 13:29

아무리 최신 CPU라고 해도 가상화를 지원하지 않는다는 사실을 깨닫고 이에 대해 참고 목적으로 기사 링크해봅니다.

저도 나중에 참고하기 위해..ㅎㅎ

http://www.ebuzz.co.kr/content/buzz_view.html?uid=79931


rc버젼을 새벽동안 받아놧는데 집에가면 설치해봐야겟네요.

그전 버젼은 받기만 해놓고 구차나서 안설치했었는데..ㅋㅋ

다운로드 경로입니다.

http://www.microsoft.com/windows/windows-7/download.aspx

아래쪽에 보시면 아래와 같이 보입니다.

사용할 운영체제 버젼 선택하시고 go~

'┃ Windows' 카테고리의 다른 글

마이크로소프트 자격증, 무료로 따기!!  (0) 2009.06.12
(수정)Windows 7 한글 언어팩 누출  (0) 2009.05.12
Windows 7 가상화 지원 CPU  (0) 2009.05.06
Windows 레지스트리 정보  (0) 2009.03.01
레지스트리 키 정보  (0) 2008.12.01
MFT 공간 예약하기  (0) 2008.05.01
Trackbacks 0 : Comments 0

Write a comment