You cannot see this page without javascript.

진주성 블로그 방문하기

기술문서 윈도우 보안

2017.11.01 07:40

구피천사 조회 수:186

하이브 파일 종류

HKEY_CLASSES_ROOT(HKCR) : 파일연결, OLE 객체 클래스 ID와 같은 등록된 응용 프로그램의 정보
HKEY_CURRENT_USER(HKCU) : 현재 로그인한 사용자의 설정
HKEY_LOCAL_MACHINE(HKLM) : 컴퓨터의 모든 사용자의 설정
HKEY_USERS(HKLM) : 컴퓨터에서 사용 중인 각 사용자 프로파일에 대한 HKEY_CURRENT_USER 키에 일치하는 서브키 정보
HKEY_CURRENT_CONFIG : 실행 시간에 수집한 자료를 담고 있다. 이 키에 저장된 정보는 디스크에 영구적으로 저장되지 않고
                       시동 기간에 생성
HKEY_PERFORMANCE_DATA : 런타임 성능 데이터 정보를 제공한다. 보이지 않지만 윈도의 API 의 레지스트리 명령어를 통해 볼수 있음
HKEY_DYN_DATA : 이 키는 윈도 95, 98, me 에만 쓰밈
  • 중요 레지스트리 키 값
ShutdownWithoutLogon : 로그온 할 경우 시스템 종료 옵션을 제거
AutoshareServer : 공유 폴더를 막음
AotoShareWks : 값이 0 이면 기본 공유가 존재하지 않는 경우이고 1이면 기본 공유가 존재함
SecurePipeServers : 레지스트리에 인증되지 않은 액세스 방지
RestrictAnonymous : 익명 네트워크 액세스 제한
                    값이 2이면 Null Session 차단

 

  • DDoS 레지스트리 값 설명
SynAttackProtect
TcpMaxHalpOpen
TcpMaxHalfOpenRetried
EnablePMTUDiscovery
NoNameReleaseOnDemand
EnableDeadGWDetect
KeepAliveTime
PerformRouterDiscovery
EnableICMPRedirects

 

  • 아티팩티 분석(Artifact Analysis)
웹 브라우저 캐시 : 다운로드 받은 이미지 텍스트파일, 아이콘 등
히스토리 분석 : 웹 사이트 접속정보를 저장하는 것으로 월별, 일병 방문 기록을 가지고 있다
쿠키정보 : 호스트 정보, 경로, 수정시간, 만료시간 등
windows XP, 7 : index.dat
windows 10(IE10) : WebCacheV01.dat, WebCacheV24.dat
  • MFT(master file table)
$MFT : 프로세서 정보, 실행, 다운로드, 생성날짜
$LogFile : 부팅이후 실행된 프로세서
$UsrJunl : 사용자 프로세서 실행정보

 

  • 이벤트 로그 (ID) : 로그인, 로그아웃 번호
응용, 보안, 시스템
buffer 단위 기록
\Windows\System32\config
SYSTEM, SECURITY, SOFTWARE
*.EVT
  • Archive bit
attrib [+|-][A|H|S|R]
attrib +H file.name


숨김파일 pagefile.sys 보기

dir /ah, attrib (아카이브비트) , ADS

 

 DIR [드라이브:][경로][파일 이름] [/A[[:]특성]] [/B] [/C] [/D] [/L] [/N]
 [/O[[:]정렬 순서]] [/P] [/Q] [/R] [/S] [/T[[:]시간 필드]] [/W] [/X] [/4]
 [드라이브:][경로][파일 이름]
             나타낼 드라이브, 디렉터리 및/또는 파일을 지정합니다.
 /A          지정된 특성을 가진 파일을 보여 줍니다.
 특성         D  디렉터리                R  읽기 전용 파일
              H  숨김 파일               A  기록 파일
              S  시스템 파일             I  콘텐츠가 인덱싱되지 않은 파일
              L  재분석 지점             -  부정을 뜻하는 접두사
 /B          최소 형식을 사용합니다(머리말 정보나 요약 없음).
 /C          파일 크기에 1000단위로 분리 기호를 보여 줍니다.  이것은 기본값
             입니다. 분리 기호를 표시하지 않으려면 /-C를 사용하십시오.
 /D          /W와 같으나 세로로 배열하여 보여 줍니다.
 /L          소문자를 사용합니다.
 /N          파일 이름이 제일 오른쪽에 오도록 새로운 긴 목록 형식을 사용합니다
 /O          파일을 정렬된 순서로 보여 줍니다.
 정렬 순서    N  이름순(문자 순서)        S  크기순(작은 것 먼저)
              E  확장명순(문자 순서)      D  날짜/시간순(가장 이전 것 먼저)
              G  그룹 디렉터리 먼저       -  순서를 반대로 하는 접두사
 /P          정보가 한 화면에 꽉 차면 잠깐 멈춥니다.
 /Q          파일 소유자를 보여 줍니다.
 /R          파일의 대체 데이터 스트림을 표시합니다.
 /S          지정한 디렉터리와 하위 디렉터리를 포함하여 보여 줍니다.
 /T          정렬에 사용할 시간 필드를 지정합니다.
 시간 필드   C  작성한 시간
             A 마지막 액세스한 시간
             W  마지막 기록한 시간
 /W          이름만 가로로 배열하여 보여 줍니다.
 /X          8.3 파일 이름이 아닌 파일에 대한 짧은 이름을 보여 줍니다.
             이 형식은 긴 이름 앞에 짧은 이름이 추가된 것으로 /N 형식과
             같습니다. 짧은 이름이 없으면
             공백을 보여 줍니다.
 /4          4자릿수 연도를 표시합니다.
 ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]
      [드라이브:][경로][파일 이름] [/S [/D] [/L]]
 +   특성을 설정합니다.
 -   특성을 지웁니다.
 R   읽기 전용 파일 특성을 설정합니다.
 A   보관 파일 특성을 설정합니다.
 S   시스템 파일 특성을 설정합니다.
 H   숨김 파일 특성을 설정합니다.
 I   콘텐츠가 인덱싱되지 않은 파일 특성을 설정합니다.
 [드라이브:][경로][파일 이름]
     ATTRIB 명령을 수행할 파일을 지정합니다.
 /S  현재 폴더와 모든 하위 폴더에서 일치하는 파일을
     처리합니다.
 /D  폴더를 처리합니다.
 /L  기호화된 링크의 대상과 기호화된 링크의 특성에 대해
     작업합니다.
C:\Windows\Prefetch
윈도우에서 자주사용 프로그램을 메모리에 쉽고 빠르게 올릴수 있게 이미지를 미리 만듬
*.pf 파일 을 생성, 삭제가능

 

svchost.exe 서비스 은닉시 사용되는 이름
click jacking
droper
watering hole : 웹사이트 취약점 이용 공격, 링크를 다른 공격사이트로 연결
microsoft-DS : 445 port
피싱 : 가짜 사이트로인한 정보 탈취
파밍 : DNS 변조, hosts, hosts.ics, DNS
스미싱 : 스마트폰 문자메시지등 소액결제 유도
whistl / castle 
스피어피싱 : 타겟
dllinjection, codeinjection, API Hooking
explore 밑으로 사용자 프로세서 실행 ex( iexplore -- 악성코드 )

 

ADS ( Alternative Data Stream ) -- Win XP
- Mac 용 파일시스템등의 변환용 숨은 공간, 실행도 됨

 

아티팩트분석
인터넷에서 다운로드파일 정보 : IE -> index.dat (url ,쿠키, 케쉬, 다운정보)
이파일이 다른파일을 만들어냄 IE -> master file table ( 모든파일 생성정보 )
index.dat
$MFT
$LogFile (모든 로그파일)
$UsrJrna (모든 생성정보)

 

regedit
run onece,  service onece

 

offset
슈퍼블럭
아이노드 : 링크정보
데이타블럭

 

 

DNS
ipconfig /displaydns - DNS케쉬테이블  -->
/windows/system32/driver/etc/hosts.ics --> hosts -->
DNS 서버 질의 (쿼리) --> DNS 서버의 캐쉬 --> DNS 제귀쿼리

 

DNSSEC - 인터넷진흥원 사이트 참조
DNSspoof
무조건 라우팅 fragroute -B1

 

    • Command **

net user Guest /active:no

    • netsh **
netsh interface ip show config
- 고정IP로 설정
netsh interface ip set address "Local Area Connection" static 아이피 마스크 게이트웨이
- DHCP 설정
netsh interface ip set address "Local Area Connection" dhcp
- 1차 DNS 설정
netsh interface ip set dns “Local Area Connection” 아이피 primary

- 2차 DNS 설정
netsh interface ip set dns “Local Area Connection” 아이피

 

netsh wlan show profile
netsh wlan delete profile name= "<지울 프로필 이름>"
netsh wlan show drivers
netsh wlan set hostednetwork mode=allow ssid="aaaa" key="aaaa"
netsh wlan start hostednetwork

번호 제목 날짜 조회 수
80 TCP 프로토콜 Header 구조 2017.11.01 1554
79 TCP 상태전이 2017.11.01 614
78 전자우편 보안 2017.11.01 280
77 부팅(Booting) 과정 2017.11.01 317
76 디지털 컨텐츠 보호 2017.11.01 113
» 윈도우 보안 2017.11.01 186
74 보안솔류션 2017.11.01 218
73 AD(Active Directory) 2017.11.01 18593
72 DNS (Domain Name Service) file 2017.11.01 129
71 포트스켄 2017.11.01 148
70 SSL, IPSEC 2017.11.01 99
69 보안관제 file 2017.11.01 4767
68 VPN 2017.11.01 5138
67 개인정보 2017.11.01 74
66 암호학 2017.11.01 814
진주성 블로그 방문하기
CLOSE