태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'security'에 해당되는 글 78건

  1. 2011.03.04 Road Masster를 만져보다 @.@ (1)
  2. 2011.01.13 포렌식 라이브 CD(Forensic Live CD)
  3. 2010.01.24 DDOS 대처 방법
  4. 2009.12.29 Malware Defense 삭제 방법
  5. 2009.12.16 System Volume Information 폴더 접근 권한 방법
  6. 2009.11.20 리눅스 서버 점검 도구 - Linux System Check Project ; LSCP (2)
  7. 2009.10.26 윈도우 CPL 명령어
  8. 2009.10.21 wireshark GeoIP 지원
  9. 2009.10.11 [E-mail 포렌식] 이메일과 예약의 변조 분석하기
  10. 2009.09.22 인터넷뱅킹 해킹 - 클램피 바이러스 (1)
  11. 2009.09.21 FinalForensic 3.1 초간단 리뷰
  12. 2009.09.16 DKOM 탐지 방법
  13. 2009.09.03 인터넷이 안될 때 - 윈소켓 복구 프로그램
  14. 2009.08.31 RunScanner 1.8.1.0 - 시스템 분석 도구
  15. 2009.08.27 threatexpert - 샘플 분석 사이트
  16. 2009.08.25 Mazilla - 악성코드 분석 프로그램
  17. 2009.08.21 네이버카페를 이용한 유령광고 (2)
  18. 2009.07.31 HTS(Home Trading System) 해킹
  19. 2009.07.31 윈도우 제어 유틸리티 (WindowsMonkey2)
  20. 2009.07.31 멀티 클립보드 - 치치(CLCL) (3)
  21. 2009.07.30 latest freeware finds - xtort.net
  22. 2009.07.24 우분투 패키지 관리 apt 명령
  23. 2009.07.23 IIS 로그 포렌식
  24. 2009.07.20 iDEFENSE LABS - 멀웨어 분석 도구 사이트
  25. 2009.07.18 해쉬 계산기
  26. 2009.07.15 Oracle 7월 긴급 패치(Criticla Patch)
  27. 2009.07.13 나쁜 GS...!!?!?!?!! (8)
  28. 2009.07.10 7월 10일 - 신종 DDoS 관련 자료
  29. 2009.07.09 7월 8일자 2차 DDoS 공격
  30. 2009.07.08 7월 7일자 신종 DDoS 공격

Road Masster를 만져보다 @.@

ⓔ Forensic 2011.03.04 16:25
로드마스터...굉장히 클줄 알았지만 생각보다 작은 외형이었다.

하지만...무게는 굉장했다. ㅋ

기본 32비트 Windows XP Embbed 운영체제와 Image Masster가 설치되어있었고,

CPU 제논 2.33GHz?였나, + 4기가 램

해쉬계산 생략으로 디스크 복제 테스트 결과 평균 분당 5기가의 복제능력을 발휘하였다.
사용자 삽입 이미지
사용자 삽입 이미지


SATA, SCSI, USB 등의 포트를 지원하고 suspect에 원본을, evidence에 사본 디스크를 연결하여 사용한다.
사용자 삽입 이미지

로드마스터는 전원을 킨 상태에서 장치 연결이 가능하다.

대신 연결을 위해서는 Image Masster를 통해야만 하는데,  Detect 기능을 통해 연결한 매체를 탐색한 후 복제를 시작한다.

윈도우단에서 USB메모리를 연결하기 위해서는 첫번째 detect, 두번째 mount를 수행하면 된다.

각종 복제 모드가 있지만 복제할 섹터 범위를 설정하는 기능은 현재 내 눈엔 보이지 않는다...ㅡㅡ;;

와이핑, 이미지 분할 저장, 여러 해쉬계산 기능, 1:2 복제기능이 있으며, 작업로그는 모두 파일로 기록이 되므로 파일을 오픈하여 확인이 가능하다.

이 장비가 왜 이리 비싼지는 이해하지 못하겠지만...쓸만하다...^^
Trackbacks 0 : Comments 1
  1. justjhs 2011.09.12 19:38 신고 Modify/Delete Reply

    흠...좋아보이네ㅋㅋ

Write a comment


포렌식 라이브 CD(Forensic Live CD)

ⓔ Forensic 2011.01.13 09:48

메일링 중에 누군가 forensic live CD에 대해 묻자 여러 사람들이 답변한 것들을 모아봄.

1. BackTrack
- URL : http://www.backtrack-linux.org/

사용자 삽입 이미지



2. DEFT Linux(Computer Forensics Live CD)
- URL : http://www.deftlinux.net/
사용자 삽입 이미지



3. Caine(Computer Forensics Linux Live Distro)
- URL : http://www.caine-live.net/
사용자 삽입 이미지



4. IRItaly(Incident Response Utaly Project)
- URL : http://www.iritaly-livecd.org/
사용자 삽입 이미지


* 기타 참고자료 : http://www.forensicswiki.org/wiki/Tools

Trackbacks 0 : Comments 0

Write a comment


DDOS 대처 방법

ⓒ Network 2010.01.24 23:28

1. 요약

1) 공격목적은 네트웍무력화(트레픽Full,네트웍장비 과부하,서버처리불능)임.  2차 감염이 아님.
   초기엔 중국에서 많이 발생했으나, 최근엔 소스가 국내서버,발신지 IP변조 공격이 주임
   예로는 TCP공격으로는 초당 28,000건 sync공격등, UDP공격으로 과다 트레픽발생 (보통 1~3Giga)

2) 충분한 회선대역폭, 충분한 네트워크장비, 네트워크장비필터링, 보안장비필터링, 서버필터링 설정으로
   피해를 최소화 시킬 수 있습니다.
   상세 대처법은 DDOS방어편에 있습니다.
 

2. 문제점 및 대처법

1) 모니터링 시스템구축 필요
- 트래픽 Full, L3, L4 세션 초과로그, 서버로그에 대해 문제 발생 시 즉각 SMS수신되는 시스템 구축 필요.
  네트워크 장비 로그를 특정 서버에 수집하여, 임계치 초과 등 문제 발생 시 문자 발송.
- 어떤 도메인이 공격 받는지 확인가능해야 한다.
- Cacti 등 트래픽 모니터링 시스템 구축
- 기타 서버 스크립트 이용 주기적 서버 모니터링 ( http://cafe.naver.com/dnspro/591 )

2) 회선 트레픽 Full발생 서비스불가 대비
=> ISP협조로 필터링, 3Giga이상의 여분 대역폭준비가 필요.

3) 80포트로 패킷과다 유입으로 네트웍장비 처리불가(L3 CPU 급증, L4 처리세션 수 초과)
=> DNS로 분산처리

4) 서버 처리능력 초과
=> 예비 웹서버 준비, 처리용량을 증가 시켜놓을 필요있음. 리눅스 웹서버로 10여대 이상운영필요

참고: ISP,네트워크 장비에서 특정IP의 공격시 필터링 할 수는 있으나 L3단에서 현실적으로 필터링 잘 안됨.
(소스변조, 웹포트인 80포트로 공격)

참고: 네트웍장비가 다운되는 이유
=>  장비는 캐쉬테이블에 SRC IP/ DST IP 또는 포트정보를 포함함 Fow정보가 Hash자료 형태로 저장됨.
    이후 테이블 lookup으로 처리
    결국, 다량 Sync공격 -> Hash테이블 증가-> 세션처리불가-> CPU부하증가-> 처리성능감소-> 장비장애
    -> 서비스불능

스위치의 구조는 다음과 같다.                         


         CPU(라우팅테이블,브리지테이블)
                                    |
패킷->------------인터페이스---Cache Table -----인터페이스--------->----------패킷

5) DNS이용 트레픽 분산하여 조치준비

- L4사용하는경우
=> 네임서버에서 리얼서버IP로 변경하여분산.
   ( 전제조건: 리눅스서버로 구성된 충분한 웹서버가 충분되어야 한다. )
   DNS STTL이 5분으로 줄여놓음.
   특정 IP공격에 대비해 사이트 구축 시 L4 WEB서버 VIP는 2개권장
   (DDOS는 여러곳에서 한곳을 공격하는것이므로,분산하는게 효과적이라는 idea에서 착안)

Case1) 특정 VIP로 공격시 DNS에서 A레코더 제거하고, 네트워크 장비에서 해당IP로 유입막으면 해결됨.
Case2) 도메인으로 공격 들어오는경우는 가능한 부분에서 네트워크장비 ACL + 충분한 웹서버증설,
웹서버에서 필터링 밖에 없음.

6) 네트웍장비에서 기본포트외에 유입 차단
- 네트웍장비에서 사전에 비공인IP차단, IANA할당하지 않은주소는 차단
  실제공격시  일부는  존재하지 않은 IP List가 많다.
  예) ip가 0.0.0.1  0.0.0.2 에서 공격 - -
- IP Header이용 TTL값이 일정해지면서 발신지 IP주소가 변하는 SYN Packet차단.
- 기업 네트웍장비에서 ACL로 우선 막고, 트레픽 Full발생시 ISP에 협조요청
IP차단요청(사전에 UDP 80 필터링)
- IPS, Cisco가드 등을 통한 차단 -> 비용발생
- 회선증설에 대비해 여분의 네트웍장비 모듈 사전준비

7) 서버가 최대한 처리량 초과에 대비해 버텨야 한다. 웹서버에 DDOS 방지를 위한 필터링을 준비함.
- 여분 리눅스 웹서버 준비, DDOS 방지기능 사전 설정
- SYN cookies 설정, Linux에서 지원
  http://cr.yp.to/syncookies.html

SYN cookies are now a standard part of Linux and FreeBSD.
They are, unfortunately, not enabled by default under Linux. To enable them, add     
 
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies to your boot scripts.

- IPTABLE의 Recent Module 사용
  http://cafe.naver.com/dnspro/2186

- mod_dosevasive 를 통한 apache 웹서버 Dos 막기
  http://cafe.naver.com/dnspro/2644

- 웹서버 튜닝 - 왼편 DDOS방어 서버편 참고.
 

3. 참고 자료

  아래는 홍석범님이 만든자료중 일부

- 트래픽 모니터링 체계 구축이 시급 : netflow등을 활용, 과다 트래픽의 특성(프로토콜, 대상IP, 피해범위)
파악이 시급

- 피해 범위가 큰 경우 victim(목적지 IP) 즉시 차단
 
  주로 상위 백본장비에서
  => null route       # ip route 1.1.1.1 255.255.255.255 Null 0

- 이후 공격지 IP를 찾아 차단(현실적으로 거의 불가능)
 
  -. access-list
     access-list deny 102 deny ip host 1.1.1.1 any 
  -. iptables 
     iptables ?A INPUT ?s 1.1.1.1 ?j DROP 


- 서버 수준의 공격시(1G이하)에는 Giga가 지원되는 방화벽으로 차단가능
 
  -. 한 IP당 동시 접속량 제한 e 접속량 제한 초과시 IP 자동차단 
  -. 국가별 차단(한국만 접속 가능)

- 네트워크 수준의 공격시에는 상위 기관(IDC,ISP등)의 협조가 필요함.  

# 1Giga이하 DDOS 공격에 대한 상위 백본장비에 세팅할 관련 룰

$iptables -A FORWARD -p icmp -j DROP
$iptables -A FORWARD -m geoip ! --src-cc KR -j DROP
$iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -m recent
                                  --name badguy --set -j DROP

# 차단 로그파일  : /var/log/messages

과다 접속으로 실시간 차단된 IP

# cat /proc/net/ipt_recent/badguy

src=192.168.65.15 ttl: 63 last_seen: 1174481 oldest_pkt: 2 last_pkts: 1174481, 1174481


4.  읽어볼만한 사이트


  1. Hardening the TCP/IP stack to SYN attacks : http://www.securityfocus.com/infocus/1729

  2. DoS Design Considerations : General Design Considerations for Secure Networks
       http://www.ciscopress.com/articles/article.asp?p=174313&seqNum=7

  3. Cisco  Defeating DDos :
  http://www.cisco.com/en/US/products/ps5888/products_white_paper0900aecd8011e927.shtml


  4. DDOS 자료 모음 : http://en.wikipedia.org/wiki/DDoS#Distributed_attack

   1) Understanding Denial-of-Service Attacks (US CERT)
   2) "Advisory CA-1997-28 IP Denial-of-Service Attacks" (CERT)
   3) Sop, Paul (2007). P2P Distributed Denial of Service Attack Alert.- http://www.prolexic.com/
   4) The "stacheldraht" distributed denial of service attack tool
   5) Intrusion Detection FAQ: Distributed Denial of Service Attack Tools: trinoo and wintrinoo
   6) US credit card firm fights DDoS attack
   7) Paxson, Vern (2001), An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks
   8) Vaughn, Randal and Evron, Gadi (2006), DNS Amplification Attacks
   9) January 2001 thread on the UNISOG mailing list
   10) Honeynet Project Reverse Challenge
   11) OpenBSD's pf is a packet filter some providers use for exactly this purpose. http://gold.rayservers.com/ddos-protection
   12) "Some IoS tips for Internet Service (Providers) or points" (Mehmet Suzen)

   [edit] External links

   ● RFC 4732 Internet Denial-of-Service Considerations
   ● W3C The World Wide Web Security FAQ
   ● cert.org CERT's Guide to DoS attacks.
   ● surasoft.com - DDoS case study, concepts, and protection.
   ● honeypots.net Papers and presentations on DDoS mitigation techniques.
   ● denialinfo.com DoS attack resources
   ● ddos.org DDoS defence resources
   ● newssocket.com An article regarding a DDoS for hire incident.
   ● linuxsecurity.com An article on preventing DDoS attacks.
   ● Cisco IOS commands to prevent flooding.

 
 5. DDoS공격 조사보고서 중

지난 2월에 있었던 DDoS 공격을 측정하는 샌디에고, 캘리포니아 대학에서의 3주간의 연구에서 발견된 것들이다.
총 1만 2805건의 DDoS 공격이 있었으며, 주당 평균 4000회 이상의 공격이 2000여개의 조직에 상당하는
약 5000개의 인터넷 호스트들을 목표로 이뤄졌다.

공격의 목표에는 인터넷 서비스 업체들은 물론이고, 아카마이 테크놀로지, 아마존닷컴, 아메리카 온라인,
마이크로소프트의 핫메일과 백악관, 그리고 심지어는 전화회선을 이용하는 사용자들까지도 포함됐다.
피해자들의 약 65%는 한번 공격을 받았으며, 18%는 두 번이상 공격을 받았다.
공격은 어디서나 몇 분에서부터 몇일까지 계속됐다

대부분의 공격은 초당 1000패킷 또는 그보다 느린 속도로 기록됐으나, 가장 빠른 공격의 경우에는
초당 67만9000패킷이 공격당했다

[출처] [정리] DDOS 대처 요약본 Ver 1.0 (DNS카페발췌)|작성자 어진


'ⓒ Network' 카테고리의 다른 글

네트워크 모니터링 도구 20선  (0) 2016.09.07
[Cain&Abel] ARP Spoofing  (0) 2012.06.01
DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
Trackbacks 0 : Comments 0

Write a comment


Malware Defense 삭제 방법

┏ Analysis 2009.12.29 16:32

요놈 골칫거리네...

벌새 님 블로그에도 치료기가 없고...

구글에서 발견함...


< 치료법 보기 >




 

Trackbacks 0 : Comments 0

Write a comment


System Volume Information 폴더 접근 권한 방법

┃ Windows 2009.12.16 10:49
System Volume Information 폴더는 시스템 복원시 필요한 데이터를 담고 있는데,

기본적으로 접근이 불가능하도록 되어 있습니다.

접근하기 위한 방법이 마소에 친절히 소개되어 있습니다.

http://support.microsoft.com/kb/309531/ko


===================================================================================================

FAT32 파일 시스템을 사용하는 Microsoft Windows XP Professional 또는 Windows XP Home Edition

  1. 시작을 클릭한 다음 내 컴퓨터를 클릭합니다.
  2. 도구 메뉴에서 폴더 옵션을 클릭합니다.
  3. 보기 탭에서 숨김 파일 및 폴더 표시를 클릭합니다.
  4. 보호된 운영 체제 파일 숨기기(권장) 확인란 선택을 취소합니다. 변경 확인 메시지가 나타나면 를 클릭합니다.
  5. 확인을 클릭합니다.
  6. 루트 폴더에서 System Volume Information 폴더를 두 번 클릭하여 엽니다.
 

도메인에서 NTFS 파일 시스템을 사용하는 Windows XP Professional

  1. 시작을 클릭한 다음 내 컴퓨터를 클릭합니다.
  2. 도구 메뉴에서 폴더 옵션을 클릭합니다.
  3. 보기 탭에서 숨김 파일 및 폴더 표시를 클릭합니다.
  4. 보호된 운영 체제 파일 숨기기(권장) 확인란 선택을 취소합니다. 변경 확인 메시지가 나타나면 를 클릭합니다.
  5. 확인을 클릭합니다.
  6. 루트 폴더에서 System Volume Information 폴더를 마우스 오른쪽 단추로 클릭하고 공유 및 보안을 클릭합니다.
  7. 보안 탭을 클릭합니다.
  8. 추가를 클릭하고 폴더에 대한 액세스 권한을 부여할 사용자 이름을 입력합니다. 해당되는 경우 로컬 또는 도메인의 계정 위치를 선택합니다. 일반적으로 이 계정을 사용하여 로그온합니다. 확인을 클릭하고 확인을 다시 클릭합니다.
  9. 루트 폴더에서 System Volume Information 폴더를 두 번 클릭하여 엽니다.

작업 그룹이나 독립 실행형 컴퓨터에서 NTFS 파일 시스템을 사용하는 Windows XP Professional

  1. 시작을 클릭한 다음 내 컴퓨터를 클릭합니다.
  2. 도구 메뉴에서 폴더 옵션을 클릭합니다.
  3. 보기 탭에서 숨김 파일 및 폴더 표시를 클릭합니다.
  4. 보호된 운영 체제 파일 숨기기(권장) 확인란 선택을 취소합니다. 변경 확인 메시지가 나타나면 를 클릭합니다.
  5. 모든 사용자에게 동일한 폴더 공유 권한을 지정(권장) 확인란 선택을 취소합니다.
  6. 확인을 클릭합니다.
  7. 루트 폴더에서 System Volume Information 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
  8. 보안 탭을 클릭합니다.
  9. 추가를 클릭하고 폴더에 대한 액세스 권한을 부여할 사용자 이름을 입력합니다. 일반적으로 이 계정을 사용하여 로그온합니다. 확인을 클릭하고 확인을 다시 클릭합니다.
  10. 루트 폴더에서 System Volume Information 폴더를 두 번 클릭하여 엽니다.

    참고: 이제 Windows XP Home Edition 사용자는 표준 모드에서 System Volume Information 폴더에 액세스할 수 있습니다.
 

NTFS 파일 시스템을 사용하는 Windows XP Home Edition에서 CACLS 사용

NTFS 파일 시스템을 사용하는 Windows XP Home Edition에서는 명령줄 도구인 Cacls 도구를 사용하여 파일이나 폴더 ACL(액세스 제어 목록)을 표시하거나 수정할 수도 있습니다. 사용과 스위치를 포함하여 Cacls 도구에 대한 자세한 내용을 보려면 도움말 및 지원에서 "cacls"를 검색하십시오.
  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.
  2. System Volume Information 폴더에 대한 액세스 권한을 얻을 파티션의 루트 폴더에 있는지 확인합니다. 예를 들어 C:\System Volume Information 폴더에 대한 액세스 권한을 얻으려면 C 드라이브("C:\" 프롬프트)의 루트 폴더에 있는지 확인합니다.
  3. 다음 명령줄을 입력하고 Enter 키를 누릅니다.
    cacls "driveletter:\System Volume Information" /E /G username:F
    표시된 대로 따옴표도 입력해야 합니다. 이 명령은 모든 제어 권한을 사용하여 폴더에 지정된 사용자를 추가합니다.
  4. 루트 폴더에서 System Volume Information 폴더를 두 번 클릭하여 엽니다.
  5. 문제 해결 후에 권한을 제거해야 하는 경우 명령 프롬프트에 다음 줄을 입력합니다.
    cacls "driveletter:\System Volume Information" /E /R username
    이 명령은 지정된 사용자에 대해 모든 권한을 제거합니다.

다음 단계는 컴퓨터를 안전 모드에서 실행하면 단순 파일 공유가 자동으로 해제되기 때문에 컴퓨터를 안전 모드로 다시 시작하는 경우에도 작동합니다.
  1. 내 컴퓨터를 열고 System Volume Information 폴더를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  2. 보안 탭을 클릭합니다.
  3. 추가를 클릭하고 폴더에 대한 액세스 권한을 부여할 사용자 이름을 입력합니다. 일반적으로 이 계정을 사용하여 로그온합니다.
  4. 확인을 클릭하고 확인을 다시 클릭합니다.
  5. System Volume Information 폴더를 두 번 클릭하여 엽니다.
Trackbacks 0 : Comments 0

Write a comment


리눅스 서버 점검 도구 - Linux System Check Project ; LSCP

┃ Linux 2009.11.20 15:23

SULinux 측에서 SSU의 업그레이드 버전인 LSCP https://www.sulinux.net/bbs/board.php?bo_table=news_2&wr_id=190 를 11월 초에 공개했다. 보안, 시스템 리소스, 시스템 상태를 효율적이고 쉽게 점검 할 수 있는 솔루션을 무료로 제공하는 취지로 마련됐다. SULinux 패키지에는 이미 SSU가 있는데 기능이 크게 향상되어 나온 것이다. 다운로드는 http://sourceforge.net/projects/lscp/ 를 참고하기 바란다.

< 원문 보기 >

관리자에게 좋은 도구인 것 같습니다.

Trackbacks 0 : Comments 2
  1. Favicon of http://hello.bubblecocktail.kr BlogIcon 우깡 2009.11.22 01:38 신고 Modify/Delete Reply

    저도 저거 설치 했는데
    괜찮더군요~~~

    그런데...
    문제는 보고서가 메일로 올때마다 한글이 깨져 와서 곤란하답니다.ㅠ

Write a comment


윈도우 CPL 명령어

┃ Windows 2009.10.26 11:36


Trackbacks 0 : Comments 0

Write a comment


wireshark GeoIP 지원

ⓒ Network 2009.10.21 00:33
새로운 wireshark 1.2버젼에서 GeoIP를 지원하네요.

사용법 : http://www.wireshark.org/lists/wireshark-dev/200902/msg00154.html

GeoIP Database : http://geolite.maxmind.com/download/geoip/database/

사용자 삽입 이미지

'ⓒ Network' 카테고리의 다른 글

[Cain&Abel] ARP Spoofing  (0) 2012.06.01
DDOS 대처 방법  (0) 2010.01.24
wireshark GeoIP 지원  (0) 2009.10.21
MS08-067 취약점 정리  (0) 2009.03.16
WPA가 크랙되었다!  (0) 2008.11.10
VoIP 공격 증가  (0) 2008.11.06
Trackbacks 0 : Comments 0

Write a comment


[E-mail 포렌식] 이메일과 예약의 변조 분석하기

ⓔ Forensic 2009.10.11 01:29

Joachim Metz에 의해 작성된 보고서이다. 아웃룩에서 사용되는 PST/OST를 분석해 이메일 시간 변조 여부를 밝혀내고 있다. 오픈소스인 libpff를 사용하여 분석한 케이스!!

libpff는 PAB, PST, OST에서 사용되는 PFF를 분석하여 아이템의 정보를 추출하고 복구하는 아웃룩 전용 분석 도구이다.

오픈소스라는 말이 나와 다는 아니지만 운영체제별로 오픈소스 포렌식 도구를 소개하는 사이트를 하나 소개할까 한다.

http://www.opensourceforensics.org/

이 보고서를 번역하면서 느낀 거지만 역시 해외는 파일 포렌식까지 활발히 연구가 이루어지고 있다는 점이 대단해 보였다.

나름 디스크포렌식을 공부하는 본인에게 파일포렌식이라는 추가 과제가 던져지는 듯 하다.

느낀점은...음...이런 발견을 했을 때의 그 짜릿함과 환호를 나도 느끼고 싶다!!

p.s. 어색한 번역이므로 넓으신 아량으로 봐주시길...

--------------------------------------------------------------------------------------------------
원문 : http://blogs.sans.org/computer-forensics/?s=E-mail+and+appointment+falsification+analysis
--------------------------------------------------------------------------------------------------

이메일과 예약 위조 분석

 

마이크로 소프트의 Outlook/Exchange에서 이메일과 예약 위조 분석

 

Joachim Metz 작성

Hoffmann 연구소

 

개요

 

디지털 포렌식 분석에서 가끔 이메일이 변조되었는지 아닌지 알아낼 필요가 있다. 문서에서는 마이크로 소프트사의 Outlook/Exchange 환경에서 이메일이 변조되었거나 예약들이 바뀌어진 것들을 알아내는데 도움을  아웃룩 메신저 어플리케이션 프로그래밍 인터페이스의 리뷰가 제공될 것이다.

 

libpff 프로젝트에 대해

 

2008 호프만 연구소의 포렌식 조사관, Joachim Mets 의해서 libpff 프로젝트가 시작되었다. 당시 일반 도메인에서는 개인 폴더 파일(PFF)에 대한 가장 좋은 소스가 libpst 프로젝트였다. libpst 프로젝트는 지난 2002년에 David Smith, Joe Nahmias, Brad Hards, Carl Byington 의해 배포되고 관리되었다.

 

하지만 그당시 libpst 라이브러리가 아니었고 PST OST 파일들안의 삭제된 아이템들을 복구하는 기능을 지원하지 않았다. 삭제된 아이템을 복구하는 기능을 지원하는 PST OST 위한 공유 라이브러리를 생성하는 것이 libpff 프로젝트의 초기 목적이었다. 삭제된 아이템들을 복구하는 것은 PFF 포맷의 내부 구조에 대해 상세한 지식을 요구한다. 이것은 재미있는 여행의 시작일 뿐이다.

 

2009 3 PFF 포렌식은 처음에 Hoffmann Advanced Forensic Sessions (HAFS)에서 마이크로소프트 오피스 포렌식의 일부로써 논의되었다. 개인폴더파일(Personal Folder File)이라 제목 지어진 문서는 HAFS의 일부분으로써 발행된 것이다. 이 문서는 난제를 확실히 이해시키기 위해 PFF 포맷의 기본사항에 대해 설명한다. 문서와 세미나 모두 주요 결론은 서로 다른 포렌식 도구들이 PST OST파일들 안에 삭제된 아이템들을 복구할 때 서로 다른 결과를 제공한다는 것이다.

 

그 사이에 libpff 프로젝트는 진화되었다. PFF 포맷의 지속적인 분석과 희생으로 그 파일 포맷의 새로운 단면을 발견하게 되었다. PFF 아이템들은 수신자, 서브폴더, 서브메세지와 서브와 관련된 아이템들에 대한 정보를 일부 담고 있다.

 

또한 MAPI에 대한 유용한 많은 정보들을 구할 수 있다. OpenChange 프로젝트는 MAPI의 오픈소스 실행을 위한 libmapi를 제공한다. 그리고 MFCMAPI 프로젝트는 많은 MAPI 정보를 MSDN에서 구할 수 있도록 제공한다.

 

호프만 연구소내에서 libff는 두 가지 목적을 위해 일해왔다. 먼저 첫번째는 다른 포렌식 도구에서 발견된 참조자료를 교차시키고 두번째는 그런 포렌식 도구들보다 PST OST 파일들에 대한 더 많은 정보를 제공하는 것이다. 2009 11, 다가오는 HAFS에서 PFF 포렌식은 주요 논의 그 이상이 될 것이다. 그 동안 이 문서에서는 재미있는 발견들이 제공될 것이다.

 

목차

 

1. 소개
  1.1.
배경

2. 변조된 이메일 메세지

  2.1. 이메일 body

  2.2. 대화 인덱스

3. 수정된 예약

4. 결론

부록 A. 참조

부록 B. GNU Free Documentation License

 

1. 소개

변조된 이메일과 예약을 걸러내기 위해 당신에게 맞는 포렌식 분석 도구를 가지고 있는 것이 좋을까? 하지만 대부분 현재의 포렌식 도구들은 이메일 메세지와 예약의 신뢰성에 대해 적은 정보를 제공한다. 그러므로 확실한 분석이 수동으로 행해져야 한다. 이 문서는 마이크로소프트 Outlook/Exchange 환경에서 변조된 이메일을 식별하는데 도움을 줄 Outlook 메세지 어플리케이션 프로그래밍 인터페이스(MAPI)의 일부분에 대한 이해를 제공할 것이다.

 

1.1 배경

 

만약 당신이 기업 환경의 필드에서 포렌식 조사관이라면 아마 대부분 마이크로 Outlook Exchange를 다룰 것이다. MAPI는 프로그래밍 인터페이스일뿐만 아니라 이메일 속성에 관한 정보의 유용한 자원이다. PST OST를 위해 마이크로소프트 Outlook에 사용되는 개인 폴더 파일 포맷을 분석이 쉽지 않다면 이 문서를 읽기 위해 [METZ09]를 읽도록 조언한다.

 

2. 변조된 이메일 메세지

 

최근 조사에서 우리는 사용자가 특정 날짜와 시간에 보낸 이메일이 있는지 조사해야만 했다. 송신자와 수신자 모두의 메일박스안에 이메일의 존재 여부를 알아내는 것부터 시작했다. 그러나 포렌식 관점에서 매우 재미있었던 다른 특성이 있었다.

 

2009 3 10일 자 이메일이 2009 3 17일에 전송되었다. 원본 이메일은 어떤 메일박스에서도 찾을 수 없었다. 첫번째 변조 징후는 전송된 이메일에 찍힌 월()의 일()자 변조였다.  3 10일의 0이 깔끔한 검정색인 주위의 글씨와 다르게 회색이었다.

 

2.1. 이메일 바디

 

Outloo/Exchange에서 이메일메세지는 RTF와, 또는 HTML 바디 텍스트를 포함할 수 있다. RTF HTML 포맷 모두 체계화된 코드를 사용한다. 체계화된 코드를 사용하여 body 텍스트를 로우레벨로 분석하였다. 대부분 쉽게 구할 수 있는 포렌식 도구들은 이런 체계화된 코드들에 접근을 제공하지 않지만 운좋게 우리에겐 libpff와 분석할 수 있는 도구가 있다.

 

verbose libpff를 컴파일하고 결과를 디버그하고 pffexport verbose 옵션(-v)을 이용하여 PST 파일을 추출하여 자세한 디버그 로그 파일을 생성하였다. 이 로그파일에서 우리는 이메일과 RTF body를 찾았다. RTF body에서 다음의 정보를 발견했다.

 

{\*\htmltag84 <b>}\htmlrtf {\b \htmlrtf0 Sent:
{\*\htmltag92 </b>}\htmlrtf }\htmlrtf0 Tuesday March 1
{\*\htmltag84 <span style='color:#1F497D'>}\htmlrtf {\htmlrtf0 0
{\*\htmltag92 </span>}\htmlrtf }\htmlrtf0 , 2009 13:48
{\*\htmltag116 <br>}\htmlrtf \line<BR>
\htmlrtf0
{\*\htmltag4 \par }

 

전송된 다른 이메일을 참고하여 we established that the bold formatting code should not be there.(번역이 애매모호해 그냥 이렇게...)

 

2.2. 대화 인덱스

 

존재하는 이메일 메세지를 찾는 중, 우리는 원본 이메일이 2009 3 10일에 생성된 것이 아니라 사실 2009 3 17일에 생성되고 변조되었다고 가정하였다. 송신자와 수신자의 메일박스에 원본 이메일 메세지의 부족을 제외한 다른 증거를 원했다.

 

'대화 추적하기(Tracking Conversations'라는 MSDN 글은 우리에게 상당히 신뢰할만한 답을 제공한다.

 

MSDN 'Tracking conversations' : http://msdn.microsoft.com/en-us/library/cc765583.aspx

(아래의 설명들을 위한 참조자료이다. MAPI에서의 메세지 저장 구조에 대한 설명이다.)

 

이 설명대로 PFF 포맷을 리버스 엔지니어링하여 1이란 값으로 되어 있는 하나의 예약된 바이트를 포함하는 헤더 블락 부분이 사실 파일시간의 첫번째 바이트라는 것을 알았다. 따라서 파일시간은 5바이트가 아니라 6바이트이다. 대화 인덱스의 헤더 블락안의 날짜와 시간은 이메일 메세지의 생성 날짜 및 시간과 일치한다.

 

MSDN 설명에 따르자면, 자식(child) 블락은 헤더 블락안에 저장되어 있는 시간이 아니며 현재와 예전 시간사이에 차이점을 포함한다고 한다. 이것이 여러 이메일들의 생성 날짜와 시간으로 사용된다.

 

특정 이메일의 대화 인덱스를 해석해보면 :

 

0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Mar 17, 2009 10:13:04 UTC
GUID : 11111111-2222-3333-4444-555555555555
Child block: 1
Filetime : Mar 17, 2009 10:18:03 UTC
Random number : 2
Sequence count : 0
Child block: 2
Filetime : Mar 17, 2009 10:24:01 UTC
Random number : 9
Sequence count : 0
Child block: 3
Filetime : Mar 17, 2009 10:42:39 UTC
Random number : 9
Sequence count : 0
Child block: 4
Filetime : Mar 17, 2009 10:45:36 UTC
Random number : 14
Sequence count : 0
Child block: 5
Filetime : Apr 17, 2009 07:19:08 UTC
Random number : 8
Sequence count : 0

 

자식 블락안의 날짜와 시간이 생성 날짜와 시간과 맞지 않고 바뀐 것에 유념하라. 이런 변조의 실질적 이유는 아직 알려지지 않았다.

 

0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Apr 17, 2009 08:41:20 UTC

 

하지만 대화 인덱스에서 2009 3 10일은 없다. 다른 전송되고 응답된 이메일 메세지의 대화 인덱스를 보면 이것은 우리가 예상한 행동이다. 위 예제에서 GUID '11111111-2222-3333-4444-555555555555'는 바뀌었다는 것을 유념하라.

 

GUID를 이용하여 대화 인덱스에서 같은 GUID를 가진 유사한 이메일을 발견했다.

 

대부분 이 이메일들은 다른 내용을 가졌다. 이 발견은 우리의 가설을 지지한다. 또한 유사한 이메일 모두 2009 3 17일이라는 생성 날짜를 가졌다. 따라서 '310'안의 0이 변조된 이메일은 2009 3 17일에 생성된 다른 이메일을 사용하여 변조되었다고 볼 수 있다.

 

인터뷰를 통해 이 발견을 들이대자 이메일 송신자는 자신이 이메일을 변조했다고 인정했다.

 

3. 변조된 예약

 

또다른 조사에서 우리가 찾고자 한 키워드 중 하나를 포함하는 대화 토픽을 담고 있는 한 예약을 발견했다. 하지만 예약은 완전히 다른 제목을 가지고 있었고 마지막 수정 날짜와 시간은 이미 예약이 며칠 뒤의 날짜로 변경되었다고 표시되어 있었다.

 

우리는 이 행동이 예약을 변경함으로써 발생되었다는 것을 확실히 할 필요가 있었다. 아웃룩을 사용하여 우리는 예약을 포함하는 PST파일을 생성했다. Libpff는 우리에게 제목과 대화 토픽에 대한 다음과 같은 정보를 제공했다.

 

0x0037 (PidTagSubject : Subject)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : ^A^ATest1
0x0070 (PidTagConversationTopic : Conversation topic)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : Test1

 

그리고 날짜와 시간 값에 대한 것이다.

 

0x0039 (PidTagClientSubmitTime : Client submit time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Jul 23, 2009 14:07:47 UTC
GUID : 11111111-2222-3333-4444-555555555555
0x0e06 (PidTagOriginalDeliveryTime : Message delivery time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:04:28 UTC
0x3008 (PidTagLastModificationTime : Last modification time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:50 UTC

 

제목안의 ^A 글자는 제어 글자이고 무시될 수 있다.

 

생성과 마지막 수정 날짜와 시간이 동일하지 않다는 것을 유념하라.

 

다음에 우리는 예약을 변경하였고 제목과 대화 토픽에 대한 정보를 얻었다.

 

0x0037 (PidTagSubject : Subject)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : ^A^AModified1
0x0070 (PidTagConversationTopic : Conversation topic)
0x001f (PT_UNICODE : UTF-16 Unicode string)
Unicode string : Test1

 

그리고 날짜와 시간 값이다.

 

0x0039 (PidTagClientSubmitTime : Client submit time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x0071 (PidTagConversationIndex : Conversation index)
0x0102 (PT_BINARY : Binary data)
Header block:
Filetime : Jul 23, 2009 14:07:47 UTC
GUID : 11111111-2222-3333-4444-555555555555
0x0e06 (PidTagOriginalDeliveryTime : Message delivery time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:07:47 UTC
0x3007 (PidTagCreationTime : Creation time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:04:28 UTC
0x3008 (PidTagLastModificationTime : Last modification time)
0x0040 (PT_SYSTEM : Windows Filetime (64-bit))
Filetime : Jul 23, 2009 14:08:37 UTC

 

보시다시피 예약이 변경되었을 때 대화 토픽과 인덱스는 바뀌지 않는다는 것을 알 수 있다. 예제에서의 마지막 수정 날짜와 시간은 예약이 변조되었다는 중요한 표시는 아니다. 왜냐하면 우리는 예약이 생성된 후 올바르게 변경했기 때문이다.

 

4. 결론

 

Outlook/Exchange의 이메일과 예약은 대화 인덱스와 여러 체계화된 body 텍스트들과 같이 이메일 디지털 포렌식 분석에 유용할 수 있는 확실한 정보를 제공한다. 또 대화 토픽과 원래의 생성/수정 날짜와 시간도 유용할 수 있다.

Trackbacks 1 : Comments 0

Write a comment


인터넷뱅킹 해킹 - 클램피 바이러스

┏ Interesting News 2009.09.22 08:28

인터넷뱅킹 전용 해킹 트로이목마가 등장했다고 합니다.

평상시엔 잠자코 있다가 금융 기관 사이트 접속시에만 활동한다고 하네요.


본문 : http://www.independent.co.kr/news/article.html?no=34536


로그인 정보를 공격자 서버로 전송한다고 하는데 차단을 하게 되면 막을 수 있겠지만 변형으로 인한 소수의 피해는 불가피할 것 같네요.

각별한 주의가 필요합니다만...자기도 모르게 감염되는 걸 어찌라고? 하면 할말없고...

악성코드 유포 사이트에서 다운된다고 하니 백신의 실시간 감시 기능이 필수인 것 같습니다.
Trackbacks 0 : Comments 1
  1. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.10.01 14:25 신고 Modify/Delete Reply

    ^^ Suban님도 즐거운 명절 보내시고 가족들과 좋은 시간 보내세요. 짧지만 알차게 보내세요~

Write a comment


FinalForensic 3.1 초간단 리뷰

ⓔ Forensic 2009.09.21 23:39
올해 초 출신 보안 동아리에서 어느정도의 지원자금을 받아 Encase는 샀는데 파이널포렌식은 못샀다.

이유는 5개 묶음으로밖에 팔지 않기 때문에 엄청난 값을 지불해야했기 때문이다. 흠...어떤 전략적인 판매 정책으로 이렇게 하는 것일까??

EnCase보다 파이널포렌식을 구경하기가 더 힘든 것 같다. ㅋ

흠 여튼...회사에서 이번에 3.1을 구입하게 되어 잠시 써보는 김에 간단히 리뷰하고자 한다.

아래는 구성품이다.


HASP의 동글키를 사용한다.(예전에도 그랬듯이 항상 동글키 보면 백업하고 싶다....ㅋㅋ;) 잠깐 검색해보니 최소 40마넌에 동글키에 적용된 기술 난이도에 따라 알파 플러스하면 백업해준다고 한다. 사실 소프트웨어는 동글키없이는 껍데기이기 때문에 동글키를 분실 또는 고장으로 재구매할 경우 거의 초반 구입비용이랑 비슷해서 다시 살 엄두가 안나는 사람들 대상으로 하는 것 같다.



CD를 넣으면 아래와 같은 설치화면이 뜬다. 오~ CD에서 실행하는 기능이 기본으로 내장되어 있네? (놀랄만한 건 아니다.그냥 예상외라...)





프로그램 설치 후 USB 인증 키 드라이버 설치했더니 안되서 다시 둘다 삭제하고 순서를 바꿔 설치했는데 한번에 안먹고 좀 삽질하다보니 자동으로 됐다...ㅡ,.ㅡ; 뭥미;





자주 사용하는 usb메모리를 로드해보겠다.

새로만들기하면 아래와 같이 뜬다





사건을 입력하고 확인을 누르면 드라이브 관리 창이 뜬다.
루트의 장치 이름을 선택하면 물리적 장치로 읽어들이고 서브의 볼륨을 선택하면 논리적 드라이브로 읽어들인다.




메뉴의 옵션에서 기본 스캔 방법이나 장치선택 테이블 아래의 '스캔구분 선택'에서 '미리보기', '삭제파일스캔', '유실파일스캔', '시그니처 스캔' 중에 선택하여 자동 분석을 수행하도록 할 수 있다.
맨 하단의 '스캔 종료 후 키워드 검색 및 자동 저장' 도 설정하면 키워드 검색까지 동시에 해준다.




스캔이 완료되면 왼쪽 하단 테이블에는 카테고리별로 구분하고 그안에서 파일들을 확장자별로 또 구분해 놓았다.





타임라인이다. 해당 년, 월, 일을 클릭하면 해당하는 파일들이 위 테이블에 나타난다. 근데 추적해서 들어가 파일들을 확인해보면 분류된 카테고리와 파일의 타임정보가 서로 다르다. 아직 볼줄몰라 그럴 수 있으니 두고보자..




파일들을 하나씩 클릭해가면서 미리보기를 할 수 있다. 한글워드파일을 잘 지원해주는게 왤케 멋져보일까? ㅋ 아래는 MS워드파일이지만 한글워드파일도 잘 보여준다. 근데 '문서'탭으로 보려고 했으나 비활성화되어있다. MS워드만 지원된다..ㅡㅡ;;;;
'문서'탭을 클릭하면 워드가 로드된다.(헐~)





근데 파일 하나하나를 클릭해가면서 미리보기를 하면 로드창이 잠깐 잠깐 나오는데 여러파일을 빠르게 하나씩 클릭할 경우 눈을 괴롭게 한다.



키워드 검색 창...




보고서 작성 메뉴...



기타 상단의 메뉴들...




머 전체적으로 기능들은 기본에 충실한 것 같다. 일일이 다 보여주기에는 포렌식 툴답게 엄청 많아 무리가 있고...
하지만 확장성에 대해서는 아쉽다.

웬지 첫인상은 파일 복구 프로그램 프리미엄버젼을 사용하는 것 같다는 느낌이 든다. 먼말이냐면 원래는 파일복구 프로그램인데 추가 기능이 프리미엄급처럼 많이 추가되었다는 것이다.

엔케이스에 너무 익숙해져 있어서 그런지 상대적일 수 있겠지만 좀 더 만져보고 좋은 점을 찾아볼까 한다.
Trackbacks 0 : Comments 0

Write a comment


DKOM 탐지 방법

ⓔ Forensic 2009.09.16 11:16

ROOTKIT 책에 나오는 DKOM 탐지기법에 대해서 설명하고 탐지도구를 알아보겠다.

Direct Kernel Object Manipulation; DKOM

즉, 커널 오브젝트를 직접 조작하는 방법이다.

실행중인 프로세스 목록이 링크드리스트로 보여지는데 2가지 방법이 있다. ActiveProcessLinks와 HandleTableList가 있는데 루트킷은 둘 중 하나, 또는 두 개 모두 조작하기 때문에 이에 맞는 탐지법이 필요하다. 대부분 ActiveProcessLinks를 조작하는 것 같다.

VolatilitySystems.com의 pslist는 ActiveProcessLinks 조작 경우에는 찾아내지 못하지만 Hooking에 의해 감춰진 프로세스는 찾아낸다.

python volatility pslist -f [ 파일경로]

IceSword는 ActiveProcessLinks와 HandleTableList 모두 조사하기 때문에 둘 중 하나만 조작한 경우엔 탐지가능하나 두개 모두 조작된 경우는 탐지 불가능하다.

● Memory Dump를 이용하여 EPROCESS를 모두 추출하는 방법이 있다.
Chain of Custody를 위해 USB 이동저장매체에 mdd를 저장하여 분석시스템의 메모리덤프를 수행한다.
메모리 덤프 파일과 VolatilitySystems.com의 psscan을 이용하여 DKOM 탐지 및 종료한 프로레스까지 탐지한다.

python volatility psscan -f [ 파일경로 ]

● 기타 탐지 도구

Sophos Anti-Rootkit
F-secure BlackLight
Klister
PTfinder

'ⓔ Forensic' 카테고리의 다른 글

FAT16/32 파일 복구 프로그램 개발 중...  (7) 2009.10.05
FinalForensic 3.1 초간단 리뷰  (0) 2009.09.21
DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
Trackbacks 0 : Comments 0

Write a comment


인터넷이 안될 때 - 윈소켓 복구 프로그램

ⓣ Network 2009.09.03 10:16
악성코드 및 바이러스 치료 후 인터넷이 안되는 문제는 윈소켓 모듈이 손상된 것으로 볼 수 있는데, 윈소켓을 복구해 주는 툴입니다.

< LSP-Fix >
- 홈페이지
- 다운로드

< WinSock XP Fix >
- 홈페이지
- 다운로드

< 참고 >
 Internet Explorer와 관련된 대료적인 10가지 문제

'ⓣ Network' 카테고리의 다른 글

인터넷이 안될 때 - 윈소켓 복구 프로그램  (0) 2009.09.03
VM네트워크 개요  (0) 2009.06.30
Half-open limit fix 프로그램(windows용)  (2) 2009.06.23
NTLM 인증  (0) 2008.11.03
[본문스크랩] Netcat사용법  (0) 2008.04.01
FTP - Active모드와 Passive모드  (0) 2008.04.01
Trackbacks 0 : Comments 0

Write a comment


RunScanner 1.8.1.0 - 시스템 분석 도구

┏ Analysis 2009.08.31 11:25


< runscanner 리뷰 보기 >



용기백배님이 소개해주셔서 벌새님 블로그로 가서 리뷰를 읽어보았습니다.

베리베리 핫~

그동안 sysinternals 도구를 이것저것 하면서 시스템 분석했던 것을 이 도구 하나로 해결할 수 있을 것 같습니다.

제 직업에 딱 맞는 도구!!

VirusTotal과의 연동, process explorer, autoruns, 웹검색 연동, 기타 다양한 기능 제공, 전문가 포럼 사이트에서의 정보 공유 및 업데이트 자료 제공가능...

RunScanner 사이트에서도 현존하는 거의 모든(제 생각임..) 파일 정보를 제공하여 시스템에서 존재하는 파일의 이상여부를 알 수도 있네요.






좋네요 ^.^/

'┏ Analysis' 카테고리의 다른 글

보안 이벤트 ID 설명  (0) 2012.04.15
Malware Defense 삭제 방법  (0) 2009.12.29
RunScanner 1.8.1.0 - 시스템 분석 도구  (0) 2009.08.31
threatexpert - 샘플 분석 사이트  (0) 2009.08.27
Mazilla - 악성코드 분석 프로그램  (0) 2009.08.25
Conficker란 무엇이냐~  (3) 2009.04.08
Trackbacks 1 : Comments 0

Write a comment


threatexpert - 샘플 분석 사이트

┏ Analysis 2009.08.27 15:00




< threatexpert 바로가기 >

샘플을 보내면 보고서형식으로 작성되어 메일로 받아볼 수 있는 사이트입니다.

어떤 의심되는 파일이 있다면 이 파일이 어떤 행동을 하는지 알아볼 수 있습니다. 샌드박스 프로그램과 같습니다.

ThreatExpert Report에서는 각종 샘플들에 대한 보고서도 찾아볼 수 있습니다.


submit sample을 통해 파일과 메일주소를 입력하면 메일로 보고서를 받아볼 수 있습니다.

tools에서 제공하는 파일업로드 전용 프로그램을 이용하여 업로드할 수도 있습니다.

간단히 하나 올려보고 보고서를 받아보았습니다. 대략 시간은 5~10분 내에 오는 것 같습니다.

보고서 내용은 아래와 같습니다.





기타 샌드박스 사이트들입니다.

http://anubis.iseclab.org/

http://www.cwsandbox.org/?page=submit&action=verify

http://www.norman.com/microsites/nsic/

http://www.threatexpert.com/submit.aspx

'┏ Analysis' 카테고리의 다른 글

Malware Defense 삭제 방법  (0) 2009.12.29
RunScanner 1.8.1.0 - 시스템 분석 도구  (0) 2009.08.31
threatexpert - 샘플 분석 사이트  (0) 2009.08.27
Mazilla - 악성코드 분석 프로그램  (0) 2009.08.25
Conficker란 무엇이냐~  (3) 2009.04.08
Conficker C Analysis  (0) 2009.03.23
Trackbacks 0 : Comments 0

Write a comment


Mazilla - 악성코드 분석 프로그램

┏ Analysis 2009.08.25 14:52



Malzilla라는 악성코드 분석에 특화된 프로그램을 소개하면서 악성 스크립트를 분석한 자료입니다.

http://core.ahnlab.com/6

다양한 디코더도 기본 탑재되어 있네요.

좋은 것 같네요^^

'┏ Analysis' 카테고리의 다른 글

RunScanner 1.8.1.0 - 시스템 분석 도구  (0) 2009.08.31
threatexpert - 샘플 분석 사이트  (0) 2009.08.27
Mazilla - 악성코드 분석 프로그램  (0) 2009.08.25
Conficker란 무엇이냐~  (3) 2009.04.08
Conficker C Analysis  (0) 2009.03.23
FreeBSD Kernel Debugging  (0) 2007.11.27
Trackbacks 0 : Comments 0

Write a comment


네이버카페를 이용한 유령광고

┃ Web 2009.08.21 14:05

벌새님이 자세히 설명해주셨습니다.

http://hummingbird.tistory.com/1305

엄청난 JQ...
Trackbacks 0 : Comments 2
  1. Favicon of https://boanchanggo.tistory.com BlogIcon JQ 2009.08.24 17:54 신고 Modify/Delete Reply

    요즘에 모하세요? 저는 이제 쭈욱 박으로 나갈듯 합니다.

    젠장 9월 30일 시험 보려 학교 방문해야 된다고 하네요

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.08.25 14:43 신고 Modify/Delete

      나야 돌+i 들과 싸우고 있지~ ㅋㅋ
      셤보러 나도 가야하나..ㅡ,.ㅡ;

Write a comment


HTS(Home Trading System) 해킹

┃ Application 2009.07.31 11:58

HTS 해킹
[출처] HTS 해킹|작성자 iwillhackyou
http://blog.naver.com/iwillhackyou/110046959718


웬지 이걸 주제로 한 영화가 만들어지면 잼있을거같...아닌가??? ㅋ
Trackbacks 0 : Comments 0

Write a comment


윈도우 제어 유틸리티 (WindowsMonkey2)

ⓟ Software 2009.07.31 11:55

인터넷 브라우저에 툴바가 있듯이 윈도우에도 툴바가 있네요.

기능 보면 쩝니다..ㅠ

젤 신기한건...비활성화 버튼을 활성화 시키는 기능입니다.


http://www.parkoz.com/zboard/view.php?id=my_tips&page=1&sn1=&divpage=3&sn=off&ss=on&sc=off&keyword=%C0%A9%B5%B5%BF%EC&select_arrange=headnum&desc=asc&no=12842

'ⓟ Software' 카테고리의 다른 글

Synergy 통신을 SSH로 암호화하기  (0) 2010.04.02
wget 활용  (0) 2010.03.09
윈도우 제어 유틸리티 (WindowsMonkey2)  (0) 2009.07.31
멀티 클립보드 - 치치(CLCL)  (3) 2009.07.31
해쉬 계산기  (0) 2009.07.18
시원하게 우회하자! - UltraSurf  (1) 2009.06.24
Trackbacks 0 : Comments 0

Write a comment


멀티 클립보드 - 치치(CLCL)

ⓟ Software 2009.07.31 09:26


재미 삼아 한타로 '치치'라고 불러보았습니다^^;

세월?이 지남에따라 ctrl+c, ctrl+v가 힘들어짐을 느끼어...멀티클립보드를 찾기 시작했습니다.

qaos의 doa님의 CLCL 소개글을 보고 xtort를 찾아가 클립보드 프로그램을 하나하나 해보기 시작했습니다.

다 해보진 않고 몇가지 아래의 기준으로 선별하여 테스트해봤습니다.

일단 복잡해 보이는 프로그램 제외! 텍스트 및 이미지까지 클립이 가능한 프로그램! 이미지 파일, 텍스트, 각종 파일 모두 클립이 가능하며, 자주 사용하는 텍스트에디터에서도 지원이 가능한 프로그램!

을 기준으로 테스트를 거친 결과 치치가 가장 무난하였습니다.


- CLCL 홈페이지 : http://www.nakka.com/soft/clcl/index_eng.html
- CLCL 한글패치 : http://qaos.com/downloads/windows/CLCLK.zip



[ 설치 ]
치치를 다운로드받아 설치하고 한글패치도 해줍니다. 한글패치 파일을 다운로드받아 압축을 풀어 설치폴더에 덮어쓰기하면 됩니다.

플러그인으로써 UNICODE, RTF, metafile 포맷이 지원되도록 아래 파일들을 다운로드받아 압축을 풀어 CLCL 옵션(CLCLSet.exe 파일 실행) -> 형식 -> 추가 -> 각 모듈 DLL파일 선택 하여 추가해줍니다.

- UNICODE 지원 모듈 : http://www.nakka.com/soft/clcl/plugin/fmtunicode001.zip
- RTF 지원 모듈 : http://www.nakka.com/soft/clcl/plugin/fmtrtf001_eng.zip
- metafile 지원 모듈 : http://www.nakka.com/soft/clcl/plugin/fmtmeta001_eng.zip


1. 설치 폴더의 CLCLSet.exe 파일 실행 or 작업표시줄의 클립모양 우클릭 후 옵션




2. 형식탭의 추가 버튼 클릭하면 다음과 같은 화면이 나옵니다.



3. format 파일을 다운로드받아 압축을 풀면 dll 파일이 나오는데 이것들을 추가합니다.




4. Accomplished!!



[ 설정하기 ]

1. 클립할 수 있는 개수를 설정할 수 있습니다. 설정은 무제한 할 수 있는 것 같은데 100으로 설정해서 100개 채우기 귀찮아서 패스!!(30개까지는 해봤습니다.)


2. 특정키를 누르면 메뉴가 호출되는데 그 메뉴 크기 및 표시 형식을 설정할 수 있습니다.


3. 메뉴를 호출하는 키를 설정합니다. 필자는 ctrl+shift+v로 설정했습니다. ctrl+v로 했더니 기본 클립보드와 겹쳐서 메뉴 호출 안되더라구요^^; 하지만 옆에 키 탭에서 기본 클립보드 단축키를 설정할 수 있게 해논것 같은데, 잘 안먹힙니다. 그냥 CLCL 메뉴호출을 개인적 취향에 맞게 설정하는게 좋을 것 같습니다.





4. 클립보드에서 관리할 데이터를 필터링할 수 있습니다.





5. 플러그인으로 도구를 추가할 수 있습니다. 필자는 히스토리와 클립보드 초기화를 추가하였습니다.



도구(tool)은 CLCL 홈페이지에서 다운로드 받을 수 있지만, 처음 설치시에 모두 포함되어 설치되기 때문에 설치폴더의 tool 폴더에 가면 해당 플러그인 dll파일을 찾을 수 있습니다.

[ 사용법 ]

복사는 일전과 동일하게 기본키 ctrl+c 로 해주면 되고, 데이터들은 clcl 클립보드에 차례로 쌓입니다.

개인취향에 맞게 설정한 단축키를 누릅니다.(필자의 경우 ctrl+shift+v)



위와 같이 이미지 및 텍스트를 담고 있습니다. 20개 중(필자가 목록을 20개로 제한한 것임) 원하는 것을 선택합니다. 마우스 클릭도 되고 번호를 입력해도 됩니다.


※ 아쉬운점은 윈도우 시작시 자동실행해주는 설정이 없습니다.ㅠ 따라서...시작 -> 모든 프로그램 -> 시작프로그램에 등록해주어야 합니다.




[ 테스트 ]

다음의 가지 환경에서 테스트를 해보았습니다.

1. 한글 문서 편집기
2. MS워드 문서 편집기
3. 그림판
4. 메모장
5. CMD
6. IE
7. firefox
8. VMware
9. EXCEL

이미지의 경우 몇가지 프로그램에서는 바로 붙여넣기가 안되는데 그럴 경우엔 crtl+v(기본 붙여넣기 키)로 해주어야 합니다. clcl메뉴에서 선택한 데이터를 기존 클립보드에 옮겨놓는 것이라고 생각하면 됩니다. clcl이 담고 있는 데이터를 기존 클립보드에 올려놓으면 ctrl+v로 붙여넣기 하는 식입니다.

'ⓟ Software' 카테고리의 다른 글

wget 활용  (0) 2010.03.09
윈도우 제어 유틸리티 (WindowsMonkey2)  (0) 2009.07.31
멀티 클립보드 - 치치(CLCL)  (3) 2009.07.31
해쉬 계산기  (0) 2009.07.18
시원하게 우회하자! - UltraSurf  (1) 2009.06.24
Unbelievable Speed Search Tool - Everything  (7) 2009.04.21
Trackbacks 0 : Comments 3
  1. 조영준 2010.07.07 14:37 신고 Modify/Delete Reply

    질문좀 드리겠습니다!

    제가 많은양을 복사를 했다가 붙여넣기를 해야하는데

    클립보드에 저장된 단어를 드래그로 붙여넣고 있습니다

    그런데 그양이 너무 많다 보니 힘이 들던데?

    단축키를 이용해 내가 저장한 단어를 붙여넣는방법은없나요?

  2. 이영미 2010.11.23 18:16 신고 Modify/Delete Reply

    질문좀 드릴게요... 다따라했는데 마지막에 단축키눌러서 텍스트담고잇는것들이 나왓는데 아무리 클릭해도 번호를눌러도 안뜨고 그냥 텍스트담고잇는거만 꺼지고 그래요.. 이건 왜이런가요 ㅠ

    • Favicon of https://suban.tistory.com BlogIcon suban 2010.12.03 12:51 신고 Modify/Delete

      원하는 내용을 클릭하거나 번호 누르셧다면 ctrl+v 해보세요.
      가끔 어떤 곳에서는 바로 갖다붙이기가 안되는데 그런 경우엔 이미 선택한 내용이 클립보드에 설정되어 있어서 ctrl+v 해주시면 됩니다.

Write a comment


latest freeware finds - xtort.net

┗ etc. 2009.07.30 11:43


카테고리별로 최신 프리웨어를 소개시켜주는 사이트입니다.

포터블, 그래픽, 교육, 인터넷 및 네트워크, 멀티미디어, OA, 보안, 프로그래밍, 시스템, 텍스트에디터등으로 나뉘어 정보를 제공해주고 있네요.

노다지를 캘 수 있는 사이트라고 생각됩니다^^

http://xtort.net/

'┗ etc.' 카테고리의 다른 글

latest freeware finds - xtort.net  (0) 2009.07.30
유용한 정규표현식(grep expression)  (0) 2009.03.04
바닥 D2 설정값  (0) 2008.01.21
주민등록번호에 대한 정보  (2) 2007.12.30
별의 별 마우스...  (0) 2007.12.07
휴대폰에서 서버 소스 수정하기  (0) 2007.11.28
Trackbacks 0 : Comments 0

Write a comment


우분투 패키지 관리 apt 명령

┃ Linux 2009.07.24 13:40

출처 : 까먹음;;

예전 운영하던 블로그에서 미쳐 챙기지 못한 이사짐...ㅡ,.ㅡ;


1.패키지 캐쉬 갱신 및 자동 업데이트
# apt-get update ; apt-get upgrade

 

2. 원하는 패키지 찾기
# apt-cache search 패키지명

 

3. 개별 패키지 설치
# apt-get install 패키지명

 

4. 패키지 삭제
# apt-get remove 패키지명

 

5. cD-ROM 목록 추가
# apt-cdrom add

 

6. 원하는 패키지 찾은 다음 정보 출력
# apt-cache show 패키지명

 

7. 의존성 검사 수행 후 패키지 업그레이드
# apt-get dist-upgrade

 

8. dselect에서 선택한 패키지의 설치 및 삭제
# apt-get dselect-upgrade

 

9. 설치된 패키지를 볼 때
# dpkg -l

 

10. apt-get install 명령어로 받은 deb파일의 저장 위치
/var/cache/apt/archive/

'┃ Linux' 카테고리의 다른 글

리눅스 NTFS 외장하드 마운트  (0) 2011.05.23
리눅스 서버 점검 도구 - Linux System Check Project ; LSCP  (2) 2009.11.20
우분투 패키지 관리 apt 명령  (0) 2009.07.24
Unix 장비별 MAC Address 확인 방법  (0) 2009.06.16
find 명령 활용  (2) 2009.06.12
RPM 명령  (0) 2008.10.12
Trackbacks 0 : Comments 0

Write a comment


IIS 로그 포렌식

ⓔ Forensic 2009.07.23 00:25

주어진 로그파일들을 쉽게 분석하는 방법이 없을까란 생각에 검색창에 'iis 포렌식'을 입력하는 순간!!

주루루루루룩 나온다...ㅡ,.ㅡ;


우선 log parser라는 툴밖에 안보인다.

- Log Parser 2.2 다운로드


visual log parser를 발견하였다.

- visual log parser 다운로드


로그 포렌식에 관한 포스팅을 유명 블로거분들이 이미 예전에 올리셨다. 완소 자료에 감사드린다.

- coderant님의 Logparser를 이용한 IIS 로그 Forensic 방법  
- 용기백배님의 LogParser as Forensic Tool 1 : LogParser의 소개와 개념
- 헐랭이님의 대량 SQL injection 악성코드 로그 추출하기


검색해보니 찾기 어려워 올리는 질문인데...

IIS의 설정 파일이 따로 존재하는가? 이다.

(있을듯 한데...없으면 실망이 클듯함^^;)


아래 자료는 참조 및 붙여넣기(ctrl+v)하기 쉽게 coderant님 포스팅을 덮썩 퍼왔다. 일일이 다 해보고 안되는 것들 몇가지 수정하였다.

----------------------------------------------------------------------------------------

1) 가장 최근에 생성된 시간을 기준으로 ASP 스크립트를 변조한 Trojan Files 여부를 진단
 
C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 


2). 가장 최근에 수정된 Files 로그 찾기

C:\logparser2.2\logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1   
  
3). 해커가 Trojan Files을 삭제한 경우에 HTTP 200 서버코드 흔적 로그를 찾는다.
 
C:\logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1   
  
* nc.exe, tini.exe, root.exe, cmd.exe, upload.asp, aspexec.asp, cmd.asp 같은 파일 이름이 있으면 의심

4) Script Abuse 분석(가장 많은 Request 요청을 받은 Executable 파일의 확장자 확인)

C:\logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attributes NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 

* 특히, .ASP, .DLL 파일 요청을 유심히 봐야함
* C:\inetpub\scripts -> scripts 또는 adminscripts

5) HTTP 서버 500 에러코드 검사

C:\logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
 

6) 가장 많은 Request Hit 수(hit수가 높은 ASP, DLL 파일 확인)

C:\logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total from ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 

7) 시간당 에러수가 가장 많이 발생한 날짜 확인
  
C:\logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Error FROM ex*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Error>25 ORDER BY Error DESC" -rtp:-1

* 25개 이상의 에러코드(404코드)를 발생한 날짜와 시간 결과를 출력

8) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
  
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

9) 하루동안 50번이상 동일 페이지에 접속을 시도한 클라이언트 IP 확인
 
C:\logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 

10)  모든 ASP 에러 기록 확인
  
C:\logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 

* 특히, ODBC와 ADO 에러는 SQL Injection 가능성이 있으므로 주의깊게 살펴봐야 함

11) 스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인
  
C:\logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 

12) Win32 Status Code 분석을 통한 Attack 확인
  
C:\logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
 

13) HTTP Method 통계 분석
  
C:\logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1

-----------------------------------------------------------------------------------------

'ⓔ Forensic' 카테고리의 다른 글

DKOM 탐지 방법  (0) 2009.09.16
DNA 증거도 조작될 수 있다 !!  (4) 2009.08.31
IIS 로그 포렌식  (0) 2009.07.23
IDE, SATA 핀 구조  (0) 2009.03.17
USB 관련 레지스트리 정보  (0) 2009.03.02
포렌식 이미징 도구 인기 투표 결과  (0) 2008.12.01
Trackbacks 0 : Comments 0

Write a comment


iDEFENSE LABS - 멀웨어 분석 도구 사이트

『Link』 관련사이트 2009.07.20 18:01



iDEFENSE LABS : http://labs.idefense.com/software/


- 행동기반 또는 동적(run-time) 분석
- 정적 분석
- 퍼징
- 멀코드 분석
- 기타 도구들

각 카테고리별로 도구를 제공합니다.

유용한 도구들이 많네요.

'『Link』 관련사이트' 카테고리의 다른 글

iDEFENSE LABS - 멀웨어 분석 도구 사이트  (0) 2009.07.20
암호복구 툴 무료 다운로드 사이트  (0) 2009.03.26
nchovy  (1) 2008.10.02
xss 당한 사이트 정보 보기  (0) 2008.09.28
파일 시스템  (0) 2008.05.15
packer 사이트  (0) 2008.01.04
Trackbacks 0 : Comments 0

Write a comment


해쉬 계산기

ⓟ Software 2009.07.18 15:22



다운로드 : http://www.softsia.com/HashCalc-download-rmf0.htm
Trackbacks 0 : Comments 0

Write a comment


Oracle 7월 긴급 패치(Criticla Patch)

┃ Application 2009.07.15 14:02
오라클에서 긴급패치를 발표했습니다. 30개의 취약점에 대한 업데이트네요.



Oracle has released its Critical Patch Update for July 2009 to address 30 vulnerabilities across several products.

This update contains the following security fixes:

  • 10 for the Oracle Database Server
  • 2 for Oracle Secure Backup
  • 2 for the Oracle Application Server
  • 5 for Oracle Applications
  • 2 for Oracle Enterprise Manager
  • 3 for the Oracle PeopleSoft and JDEdwards Suite
  • 1 for the Oracle Siebel Suite
  • 5 for the Oracle BEA Products Suite 

 

-------------------------------------------------------------------------------------------

Oracle Critical Patch Update Advisory - July 2009

 

 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

-------------------------------------------------------------------------------------------

 

Trackbacks 0 : Comments 0

Write a comment


나쁜 GS...!!?!?!?!!

┃ 끄적끄적 2009.07.13 22:30
DDoS 사건으로 피곤한데다 날씨까지 후덥지근한 저녁, 힘들게 퇴근해서 집에 왔는데 책상에 덩그러니 놓여있는 UPS 화물(?)하나...

머지머지??? 보낸사람은 보지 않고 누군지 추측하기 시작했다...누굴까...호...호혹시?? 그때서야 보낸 사람을 보니 Guidancesoftware였다.

언능 뜯어보니 코팅된 카드 한장과 이상한 종이 쪼가리 2장이 들어 있었고, 제일 먼저 영어가 많은 것부터 읽기 시작했다. 영어 울렁증이 있어 첨부터 보지 않고 매직아이를 하기 시작했다.

눈에 젤 먼저 띄인 건 not be granted!!! 이...이런 떨어진건가...젠장...그렇게 사람 기다리게 해놓고 이제야 떨어졌다는 사실을 소포로 알리는 건 대체 뭐야! 라며 좌절감에 휩싸여 있는 동안, 아니야 그럴리 없어 라며 다시 한번 두 눈 부릅뜨고 다른 종이 쪼가리를 보니 certified라는게 보이는 것이다. 음....

그렇구나...합격한 거였고, not be granted는 교육을 받지 않이 하면 자격증이 지속되지 않는다는 부분이었다. (이제부터 열심히 투자하라는 소리로 들린다. ㅋㅋ)

오늘 아침도 어김없이 메일을 열어보며 가이던스소프트웨어가 보낸 메일이 있나 두 눈을 비비며 확인하였지만 없었다.
거의 2달 반동안 메일을 하루에도 수십번 열어보며 기다리고 기다리던 합격소식을 이따위로 전하다니...ㅡ,.ㅡ;

중간에 메일도 보내보았다. 조용히 순서 기다리라는 1줄 짜리 답장만 날라왔었다. ㅋㅋ

여튼 합격이다. 유후!!!

혼자 시험 준비하고 아무에게도 기대려하지 않으려 했던 보람이 있다.(사실 기대고 싶었지만 기댈사람이 없었음..XD)

영작에 도움을 주신 분께 정말 감사드리고, 염치없이 회사 빠지며 자격증 준비했던 것인데 회사분들께 탐앤XX 커피 하나씩 돌려야겠다.
Trackbacks 0 : Comments 8
  1. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.07.13 23:35 신고 Modify/Delete Reply

    ^^와 축하드려요~ 저도 엊그제 받았는대 아무래도 일괄배송한듯? 비슷한 시기에 보냈나봐요;
    전 근데 제가 안보내도 중간에 합격했으니 닥.기다리란 메일 왔었는대...국내 멜이시면 중간에 차단된거
    아닐까요?^^ 저도 배송온거 사진찍어두고 아직 포스팅을 못했다는..큭;ㅋ 다시한번 축하드려요!

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.07.14 00:12 신고 Modify/Delete

      용기님 합격 멜 받으셨다는 글보고 그때 저 탈락한 줄 알고 얼마나 맘고생했는지 몰라요 ㅋㅋ 암튼 추카해주셔서 감사합니다~^^

  2. Favicon of http://boanchanggo.tistory.com/ BlogIcon 후미후 2009.07.14 08:48 신고 Modify/Delete Reply

    형님 축하드립니다.~~~ 나중에 사진도 같이 올려 주세요 구경좀 하게요 ㅋ

  3. Favicon of http://forensicfactofy.tistory.com BlogIcon joseph1020 2009.07.15 14:01 신고 Modify/Delete Reply

    축하드립니다. ^^

  4. Favicon of http://justjhs.tistory.com BlogIcon justjhs 2009.07.22 09:51 신고 Modify/Delete Reply

    저번에 본다던 그 시험인건가??

    암튼 ㅊㅋㅊㅋ ㅋㅋㅋㅋ

Write a comment


7월 10일 - 신종 DDoS 관련 자료

┏ Interesting News 2009.07.10 03:34

개요도 및 피해방지법이 이미 나왔네요.. 요기->http://viruslab.tistory.com/896

ㅎㅎ;;

정말 부지런하신 것 같아요! 대단하십니다.

일단 디스크 파괴(mbr파괴죠)로 끝날 것 같다는 느낌이지만 방심하지 않고 있습니다.

일단 바이러스 감염 후 증상들에 대한 개요도들만 주구장창 나오지 정작 중요한 유입경로, 유포지 등은 밝혀내지 못하고 있습니다.

또한 북한이니, 미국이니 하는거 아직 확실히 밝혀진바 없는걸로 알고 있습니다.(현재로써는...)


여튼..

국민 전체가 바이러스 점검에 신경쓰지 않는 이상 막을 수 없는 이번 공격에 대해...보안전문가들은 머하고 있었느냐는 식의 기사를 쓴 기자들은 각성해야 합니다. 그런 기사보면 완전 기분 쉣이죠..ㅡㅡ;

초등학교때부터 이제 보안 수업을 시켜야 한다고 생각합니다. 진심으로...


***********************************************************************************************

▲안철수연구소 전용백신(http://home.ahnlab.com)

▲하우리 전용백신(http://www.hauri.co.krl)

▲바이러스체이서 전용백신(http://www.viruschaser.com)

▲알약 전용백신(http://alyac.altools.co.kr)

▲네이버 PC그린 전용백신(http://security.naver.com)

▲잉카인터넷 전용백신(http://www.inca.co.kr)

Trackbacks 0 : Comments 0

Write a comment


7월 8일자 2차 DDoS 공격

┏ Interesting News 2009.07.09 08:35


2차 공격이 어김없이 들어왔네요.

http://viruslab.tistory.com/891

관련 기사

- ‘7·7 DDoS 공격’ 누가?… 왜?
http://www.segye.com/Articles/News/Politics/Article.asp?aid=20090708004211&ctg1=06&ctg2=00&subctg1=06&subctg2=00&cid=0101010600000

- 美, 공격 경유지 한국 지목, 트래픽 차단 조치
http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090708155446

- “2차 공격 새 좀비PC 사용”
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=1247065206&cDateYear=2009&cDateMonth=07&cDateDay=09

- 방통위 ‘좀비PC’ 인터넷 접속 제한 요청
http://www.seoul.co.kr/news/newsView.php?id=20090709800005

- 오늘 오후 6시 ‘3차 공격’ 온다
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090709100557&cDateYear=2009&cDateMonth=07&cDateDay=09

- 국가정보원 “北·종북세력이 사이버테러”
http://www.fnnews.com/view?ra=Sent0701m_View&corp=fnnews&arcid=090708223047&cDateYear=2009&cDateMonth=07&cDateDay=09

Trackbacks 0 : Comments 0

Write a comment


7월 7일자 신종 DDoS 공격

┏ Interesting News 2009.07.08 11:38

개인 컴퓨터에 감염된 악성코드에 의해 DDoS가 발생한 것으로 나타나고 있는데 더 자세한 내용은 밝혀지지 않고 있다고 합니다.

관련 기사 및 공격 대상 사이트 목록은

http://viruslab.tistory.com/889

을 참조하시기 바랍니다.

p.s. 리스트보면 웬지 북한 냄새가...


*** 추가 ***

관련 기사

http://www.boannews.com/media/view.asp?idx=16962&kind=0

http://www.boannews.com/media/view.asp?idx=16968&kind=0

http://news.naver.com/main/read.nhn?mode=LPOD&mid=sec&sid1=001&sid2=140&oid=001&aid=0002754811&isYeonhapFlash=Y

http://www.dt.co.kr/contents.html?article_no=2009070902010151739002

http://www.dt.co.kr/contents.html?article_no=2009070902010351739002


제 개인적 견해이지만...대국민 보안 교육을 시켜야 한다고 생각합니다. 솔직히 이런 방법 말고는 아무리 보안전문가가 노력한다고 해도 거기서 거기라고 생각합니다....ㅡㅡ;;
Trackbacks 0 : Comments 0

Write a comment