하이브 파일 종류

HKEY_CLASSES_ROOT(HKCR) : 파일연결, OLE 객체 클래스 ID와 같은 등록된 응용 프로그램의 정보
HKEY_CURRENT_USER(HKCU) : 현재 로그인한 사용자의 설정
HKEY_LOCAL_MACHINE(HKLM) : 컴퓨터의 모든 사용자의 설정
HKEY_USERS(HKLM) : 컴퓨터에서 사용 중인 각 사용자 프로파일에 대한 HKEY_CURRENT_USER 키에 일치하는 서브키 정보
HKEY_CURRENT_CONFIG : 실행 시간에 수집한 자료를 담고 있다. 이 키에 저장된 정보는 디스크에 영구적으로 저장되지 않고
                       시동 기간에 생성
HKEY_PERFORMANCE_DATA : 런타임 성능 데이터 정보를 제공한다. 보이지 않지만 윈도의 API 의 레지스트리 명령어를 통해 볼수 있음
HKEY_DYN_DATA : 이 키는 윈도 95, 98, me 에만 쓰밈

• 중요 레지스트리 키 값

ShutdownWithoutLogon : 로그온 할 경우 시스템 종료 옵션을 제거
AutoshareServer : 공유 폴더를 막음
AotoShareWks : 값이 0 이면 기본 공유가 존재하지 않는 경우이고 1이면 기본 공유가 존재함
SecurePipeServers : 레지스트리에 인증되지 않은 액세스 방지
RestrictAnonymous : 익명 네트워크 액세스 제한
                    값이 2이면 Null Session 차단

 

• DDoS 레지스트리 값 설명

SynAttackProtect
TcpMaxHalpOpen
TcpMaxHalfOpenRetried
EnablePMTUDiscovery
NoNameReleaseOnDemand
EnableDeadGWDetect
KeepAliveTime
PerformRouterDiscovery
EnableICMPRedirects

 

• 아티팩티 분석(Artifact Analysis)

웹 브라우저 캐시 : 다운로드 받은 이미지 텍스트파일, 아이콘 등
히스토리 분석 : 웹 사이트 접속정보를 저장하는 것으로 월별, 일병 방문 기록을 가지고 있다
쿠키정보 : 호스트 정보, 경로, 수정시간, 만료시간 등
windows XP, 7 : index.dat
windows 10(IE10) : WebCacheV01.dat, WebCacheV24.dat

• MFT(master file table)

$MFT : 프로세서 정보, 실행, 다운로드, 생성날짜
$LogFile : 부팅이후 실행된 프로세서
$UsrJunl : 사용자 프로세서 실행정보

 

• 이벤트 로그 (ID) : 로그인, 로그아웃 번호

응용, 보안, 시스템
buffer 단위 기록
\Windows\System32\config
SYSTEM, SECURITY, SOFTWARE
*.EVT

• Archive bit

attrib [+|-][A|H|S|R]
attrib +H file.name

숨김파일 pagefile.sys 보기

dir /ah, attrib (아카이브비트) , ADS

 

 DIR [드라이브:][경로][파일 이름] [/A[[:]특성]] [/B] [/C] [/D] [/L] [/N]
 [/O[[:]정렬 순서]] [/P] [/Q] [/R] [/S] [/T[[:]시간 필드]] [/W] [/X] [/4]
 [드라이브:][경로][파일 이름]
             나타낼 드라이브, 디렉터리 및/또는 파일을 지정합니다.
 /A          지정된 특성을 가진 파일을 보여 줍니다.
 특성         D  디렉터리                R  읽기 전용 파일
              H  숨김 파일               A  기록 파일
              S  시스템 파일             I  콘텐츠가 인덱싱되지 않은 파일
              L  재분석 지점             -  부정을 뜻하는 접두사
 /B          최소 형식을 사용합니다(머리말 정보나 요약 없음).
 /C          파일 크기에 1000단위로 분리 기호를 보여 줍니다.  이것은 기본값
             입니다. 분리 기호를 표시하지 않으려면 /-C를 사용하십시오.
 /D          /W와 같으나 세로로 배열하여 보여 줍니다.
 /L          소문자를 사용합니다.
 /N          파일 이름이 제일 오른쪽에 오도록 새로운 긴 목록 형식을 사용합니다
 /O          파일을 정렬된 순서로 보여 줍니다.
 정렬 순서    N  이름순(문자 순서)        S  크기순(작은 것 먼저)
              E  확장명순(문자 순서)      D  날짜/시간순(가장 이전 것 먼저)
              G  그룹 디렉터리 먼저       -  순서를 반대로 하는 접두사
 /P          정보가 한 화면에 꽉 차면 잠깐 멈춥니다.
 /Q          파일 소유자를 보여 줍니다.
 /R          파일의 대체 데이터 스트림을 표시합니다.
 /S          지정한 디렉터리와 하위 디렉터리를 포함하여 보여 줍니다.
 /T          정렬에 사용할 시간 필드를 지정합니다.
 시간 필드   C  작성한 시간
             A 마지막 액세스한 시간
             W  마지막 기록한 시간
 /W          이름만 가로로 배열하여 보여 줍니다.
 /X          8.3 파일 이름이 아닌 파일에 대한 짧은 이름을 보여 줍니다.
             이 형식은 긴 이름 앞에 짧은 이름이 추가된 것으로 /N 형식과
             같습니다. 짧은 이름이 없으면
             공백을 보여 줍니다.
 /4          4자릿수 연도를 표시합니다.

 ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]
      [드라이브:][경로][파일 이름] [/S [/D] [/L]]
 +   특성을 설정합니다.
 -   특성을 지웁니다.
 R   읽기 전용 파일 특성을 설정합니다.
 A   보관 파일 특성을 설정합니다.
 S   시스템 파일 특성을 설정합니다.
 H   숨김 파일 특성을 설정합니다.
 I   콘텐츠가 인덱싱되지 않은 파일 특성을 설정합니다.
 [드라이브:][경로][파일 이름]
     ATTRIB 명령을 수행할 파일을 지정합니다.
 /S  현재 폴더와 모든 하위 폴더에서 일치하는 파일을
     처리합니다.
 /D  폴더를 처리합니다.
 /L  기호화된 링크의 대상과 기호화된 링크의 특성에 대해
     작업합니다.

C:\Windows\Prefetch
윈도우에서 자주사용 프로그램을 메모리에 쉽고 빠르게 올릴수 있게 이미지를 미리 만듬
*.pf 파일 을 생성, 삭제가능

 

svchost.exe 서비스 은닉시 사용되는 이름

click jacking

droper

watering hole : 웹사이트 취약점 이용 공격, 링크를 다른 공격사이트로 연결

microsoft-DS : 445 port

피싱 : 가짜 사이트로인한 정보 탈취

파밍 : DNS 변조, hosts, hosts.ics, DNS

스미싱 : 스마트폰 문자메시지등 소액결제 유도

whistl / castle 

스피어피싱 : 타겟

dllinjection, codeinjection, API Hooking

explore 밑으로 사용자 프로세서 실행 ex( iexplore -- 악성코드 )

 

ADS ( Alternative Data Stream ) -- Win XP
- Mac 용 파일시스템등의 변환용 숨은 공간, 실행도 됨

 

아티팩트분석
인터넷에서 다운로드파일 정보 : IE -> index.dat (url ,쿠키, 케쉬, 다운정보)
이파일이 다른파일을 만들어냄 IE -> master file table ( 모든파일 생성정보 )
index.dat
$MFT
$LogFile (모든 로그파일)
$UsrJrna (모든 생성정보)

 

regedit
run onece,  service onece

 

offset

슈퍼블럭
아이노드 : 링크정보
데이타블럭

 

 

DNS
ipconfig /displaydns - DNS케쉬테이블  -->
/windows/system32/driver/etc/hosts.ics --> hosts -->
DNS 서버 질의 (쿼리) --> DNS 서버의 캐쉬 --> DNS 제귀쿼리

 

DNSSEC - 인터넷진흥원 사이트 참조

DNSspoof
무조건 라우팅 fragroute -B1

 

• • Command **

net user Guest /active:no

• • netsh **

netsh interface ip show config

- 고정IP로 설정
netsh interface ip set address "Local Area Connection" static 아이피 마스크 게이트웨이

- DHCP 설정
netsh interface ip set address "Local Area Connection" dhcp

- 1차 DNS 설정
netsh interface ip set dns “Local Area Connection” 아이피 primary

- 2차 DNS 설정
netsh interface ip set dns “Local Area Connection” 아이피

 

netsh wlan show profile
netsh wlan delete profile name= "<지울 프로필 이름>"
netsh wlan show drivers
netsh wlan set hostednetwork mode=allow ssid="aaaa" key="aaaa"
netsh wlan start hostednetwork