보안세상

wireshark 에서 TLS 세션 복호화하는 방법은 다음과 같습니다. * 서버의 인증서와 키 파일을 PEM 파일로 저장한다.* WireShark 의 "Edit -> Preferences" 메뉴를 클릭한다.* SSL 을 선택한다.* RSA keys list 의 "Edit..." 버튼을 클릭한다.* "New" 버튼을 클릭한 후, 아래와 같이 설정한 후, "OK" 버튼을 클릭한다. - IP address : TLS 서버 IP 주소 - Port : TLS 서버 포트 번호 - Protocol : TLS 서버 프로토콜 - Key File : 서버의 인증서와 키 파일이 저장된 PEM 파일을 선택한다. - Password : Key File 에 비밀번호가 필요하면 입력한다. 이제 wireshark 패킷 덤프를 시작하..

wmpnetwk.exe : Windows Media Player 네트워크 공유 서비스 wmpnetwk.exe 가 memory를 대략 8MB 정도 사용하고 있다local port 554, 5004, 5005 포트를 열고 있음. (그외 다른 포트들이 열렸다가 닫히는 것으로 보아, 주기적으로 다른 PC와 정보를 주고 받는 것으로 보여짐) - 서비스 중지 방법 : cmd 창에서 services.msc 를 입력 > "Windows Media Player Network Sharing Service" 를 찾아 사용안함(disabled) 선택

spoolsv.exe는 프린터 관련 프로세스 입니다.위키리크스를 가장한 스팸메일때부터 POS에서 카드 정보 훔치는 코드 정부에서 사용하는 내부 프로토콜 뺵도어 용도 APT로도 쓰이는 프로세스기도 한데이 프로세스는 재밌는 점이 많아서 좀 더 재밌게 분석을 해볼 것입니다.우선 Spoolsv.exe의 cpu점유율이 높다면 해결방법으로는 시작 -> 실행 -> services.msc해보면 Printer Spooler라는 서비스에 의해 실행됩니다. 그런데 프린트 작업이 정상적으로 종료되지 않으면 Spoolsv.exe는 프로세스를 많이 점유하는 현상이 발생하게 됩니다. 이러한 문제를 해결하기 위해서는 비정상적으로 종료된 작업을 지워주면됩니다. Ctrl+Alt+Del로 작업관리자를 띄우거나 화면 하단의 작업표시줄에서 ..

윈도우 로그 관리자로써 윈도우 비스타 이전 : Winlogon.exe가 Lsass.exe와 Services.exe 를 실행시킴 윈도우 비스타 이후 : Winlogon.exe와 Wininit.exe가 함께 실행되고, Wininit.exe가 Lsass.exe와 Services.exe를 실행시킴 Lsass.exe ( Local Security Authority Subsystem Service )는 부팅시 보안 인증을 담당하고 LSA 라고도 부른다.Services.exe ( Service Control Manager )는 서비스를 관리하고, SCM 이라고도 부른다. Winlogon 은 또한 유저 로그인 동작을 수행하는 GINA ( Graphical Identification and Authentication )..

윈도우7(Windows7) - 디스크 조각 모음을 실행시 오류메세지 나올 경우 1. 윈도우로고버튼+R키를 누릅니다.2. "regedit"을 타이핑하고 엔터을 누릅니다.3. 레지스트리 편집기에서 - HKEY LOCAL MACHINE |- System |- CurrentControlSet |- services |- ​eventlog​ |- parameters

가끔 보면 컴퓨터에서 "SearchIndexer.exe"프로세스로 인해서 CPU점유율이 높아지면서컴퓨터가 느리게 되는 경우가 있습니다.(Windows7) - SearchIndexer.exe - 색인 기능 프로세스 중지 삭제|작성자 챠우챠우SearchIndexer.exe 기능이 컴퓨터내 파일을 미리 검색하여 색인(인덱싱)하는 프로세스입니다.컴퓨터내 많은 파일들을 손쉽게 검색하기 위해서 자동으로 색인을 해 줍니다.그럼 빠른 시간내에 파일을 찾아주는 장점이 있으나 자동으로 하다보니 작업시간에는 컴퓨터가 느리게 되는 경우도 컴퓨터가 느리게 되는 단점이 있습니다. 제 생각에는 굳히 할 필요성은 없다고 생각을 합니다.(파일 인덱싱 해서 검색 속도 빠르게 해주는 기능인데 간혹 점유율이 상승하는 경우가 있습니다.이럴땐..

재미있는 일이 하나 발생했습니다. "netstat -ano"로 TCP 포트가 LISTENING 상태에 있음을 확인했는데 함께 출력된 PID에 해당하는 프로세스는 작업관리자에서 보이지 않는 문제입니다. 혹시나 싶어, Sysinternals의 TCPView를 통해서 보니 다음과 같은 식으로 출력되었습니다. 2928 TCP 0.0.0.0 8801 0.0.0.0 0 LISTENING 2928 UDP 0.0.0.0 65262 * * 2928 UDP 0.0.0.0 65263 * * 2928 UDP 0.0.0.0 65264 * * 2928 UDP 0.0.0.0 65265 * * 2928 UDP 0.0.0.0 65266 * * 2928 UDP 0.0.0.0 65267 * * 2928 UDP 0.0.0.0 65268 *..

윈도우를 종료할 때 마다, 다음의 오류메세지가 나타납니다.컴퓨터 사용할떈 아무문제없다가 그냥 아무 이유없이 응용 프로그램 오류가 나오는 경우가 있는데 이럴때는 이렇게 대처하시면 됩니다. 오류explorer.exe -응용프로그램오류0xcab40b9에 있는 명령이 0x00000000의 메모리를 참조했습니다. 해결방법작업 1. Windows Vista, Windows 7 또는 Windows 8에서 클린 부팅을 수행하여 문제를 해결하는방법http://support.microsoft.com/kb/929135/ko 작업 2. 가상 메모리 설정 변경http://windows.microsoft.com/ko-KR/windows-8/change-the-size-of-virtual-memory

( 1 ) 로컬 그룹 정책 편집기을 이용한 방법 1. 시작 -> 실행(Ctrl + R) -> gpedit.msc 입력2. 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> 자동 실행 정책으로 이동 오른쪽 창의 [자동 실행 사용 안 함] 을 더블 클릭함.3. [사용 안 함] 을 선택한 후 재부팅 ( 2 ) 레지스트리를 이용한 방법 1. 시작 -> 실행(Ctrl + R) -> regedit 입력 2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 로 이동 3. 새로 만들기 -> DWORD 값 선택 4. DontSetAutoplayCheckbox 이름을 입력한 후 값 데이터에 1을 설정 5. 재부팅함

TCP 통신을 이해하기 위해서는 TCP 헤더에 무슨 내용이 들어 있는지 이해해야 함. TCP는 통신에 앞서 연결 설정을 하거나 승인 및 흐름 제어를 하기 위해 TCP 헤더 구조는 UDP 패킷의 구조와 비교하면 매우 복잡하게 되어 있음. 일반적으로 TCP 헤더는 20바이트의 크기임.( 1 ) TCP 헤더 구조 0 15 16 31 소스 포트 번호 (16 비트) 목적지 포트 번호 (16 비트) 시퀀스 번호 (32 비트) 승인 번호 (32 비트) 헤더 길이 (4 비트) 예약 (6 비트) 코드 비트 (각 1 비트) 윈도우 (16 비트) U R G A C K P S H R S T S Y N F I N 체크섬 (16 비트) 긴급 포인터 (16 비트) (옵션) 데이터 ← - 32 비트 - →