보안세상

macro-spreadsheets.zip OfficeMalScanner.zip 참고 사이트 : http://digital-forensics.sans.org/blog/2009/11/23/extracting-vb-macros-from-malicious-documents 보통 수신된 메일에 첨부 파일 MS Office 파일을 클릭 시 악의적인 VBA 매크로 코드가 실행되어 백도어 및 봇에 감염되는 경우가 있음.OfficeMalScanner.exe 파일을 이용하여 MS Office 파일의 악의적인 VBA 매크로 코드를 추출할 수 있음 ( 1 ) OfficeMalScanner.exe OfficeMalScanner.exe 는 Frank Boldewin 씨가 만들었으며 쉘 코드, PE 파일, 임베디드 된 OLE 스트..

시리즈 순서도 입니다.이런 순서대로 보면 이해가 좀 더 잘되고 구성이 이 순서대로 넘어 갑니다.죄다 연관성들이 있죠.무턱대고 어벤져스 먼저 보면 스톤이 뭔가 싶기도 하고 울트론이 뭔가 싶기도 하고 복잡합니다. 이해하려면네이버에 검색해볼텐데 검색해보면 더 이해가 안갑니다.어차피 정주행 할꺼라면 순서대로 보시는것을 추천합니다. 아이언맨인크레더블 헐크 아이언맨2 토르:천둥의신 캡틴 아메리카: 퍼스트 어벤져 어벤져스 아이언맨3 토르:다크월드 캡틴 아메리카:윈터 솔저 가디언즈 오브 갤럭시어벤져스:에이지 오브 울트론앤트맨

어벤져스를 포함한 마블 영화 중 제일 재밌다. 그냥 재밌다.마블 영화는 그냥 보다가 보고 나면 시리즈가 궁금해지면서 다음 나올 작품을 기대하게 하는 마성을 갖고 있다.

윈도우를 종료할 때 마다, 다음의 오류메세지가 나타납니다.컴퓨터 사용할떈 아무문제없다가 그냥 아무 이유없이 응용 프로그램 오류가 나오는 경우가 있는데 이럴때는 이렇게 대처하시면 됩니다. 오류explorer.exe -응용프로그램오류0xcab40b9에 있는 명령이 0x00000000의 메모리를 참조했습니다. 해결방법작업 1. Windows Vista, Windows 7 또는 Windows 8에서 클린 부팅을 수행하여 문제를 해결하는방법http://support.microsoft.com/kb/929135/ko 작업 2. 가상 메모리 설정 변경http://windows.microsoft.com/ko-KR/windows-8/change-the-size-of-virtual-memory

물리적 메모리논리적 메모리1. 프로그램이 생성할 때부터 종료할 때까지 메모리에 상주하는 부분A. main() 함수와 함수코드(Function)B. 전역변수(Global Variable)C. 정적변수(Static Variable)2. 프로그램 실행 도중에 생성 및 소멸되는 부분A. 지역변수(Local Variable)B. 매개변수(Parameter)C. Heap 메모리에 생성된 데이터 함수 또는 클래스 스택 영역(Stack) 지역변수, 매개변수와 같이 쓰고 지우는 일이 빈번한 데이터는 스택영역을 사용한다. 스레드 당 1개씩 생성되며, 기본 크기는 1MB이다. 용량이 작아서 이 용량을 초과할 경우 Stack Overflow라는 에러 메시지가 발생한다. 링킹시 옵션으로 “/STACK:reserve [.comm..

( 1 ) 로컬 그룹 정책 편집기을 이용한 방법 1. 시작 -> 실행(Ctrl + R) -> gpedit.msc 입력2. 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> 자동 실행 정책으로 이동 오른쪽 창의 [자동 실행 사용 안 함] 을 더블 클릭함.3. [사용 안 함] 을 선택한 후 재부팅 ( 2 ) 레지스트리를 이용한 방법 1. 시작 -> 실행(Ctrl + R) -> regedit 입력 2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 로 이동 3. 새로 만들기 -> DWORD 값 선택 4. DontSetAutoplayCheckbox 이름을 입력한 후 값 데이터에 1을 설정 5. 재부팅함

TCP 통신을 이해하기 위해서는 TCP 헤더에 무슨 내용이 들어 있는지 이해해야 함. TCP는 통신에 앞서 연결 설정을 하거나 승인 및 흐름 제어를 하기 위해 TCP 헤더 구조는 UDP 패킷의 구조와 비교하면 매우 복잡하게 되어 있음. 일반적으로 TCP 헤더는 20바이트의 크기임.( 1 ) TCP 헤더 구조 0 15 16 31 소스 포트 번호 (16 비트) 목적지 포트 번호 (16 비트) 시퀀스 번호 (32 비트) 승인 번호 (32 비트) 헤더 길이 (4 비트) 예약 (6 비트) 코드 비트 (각 1 비트) 윈도우 (16 비트) U R G A C K P S H R S T S Y N F I N 체크섬 (16 비트) 긴급 포인터 (16 비트) (옵션) 데이터 ← - 32 비트 - →

( 1 ) TCP 제어 플래그 | URG | ACK | PSH | RST | SYN | FIN | 각각 1비트로 TCP 세그먼트 필드 안에 CONTROL BIT 또는 FLAG BIT 로 정의 되어 있음. ① URG (Urgent) - 긴급 데이터 Urgent Pointer 유효한 것인지를 나타냄. Urgent Pointer란 전송하는 데이터 중에서 긴급히 전달해야 할 내용이 있을 경우에 사용함. 긴급한 데이터는 다른 데이터에 비해 우선순위가 높아야 함. ex) Ping 명령어 실행 도중 Ctrl+C 입력 ② ACK (Acknowledgement) - 응답 받는 사람이 보낸 사람 시퀀스 번호에 TCP 계층에서 길이 또는 데이터 양을 더한 것과 같은 ACK를 보냄.(일반적으로 +1 하여 보냄) ACK의 번호..

Wireshark 에서 FTP 서비스로 전송된 파일을 추출하는 방법은 Wireshark -> File -> Export Objects 로 추출이 안되며 NetworkMiner 툴로도 추출이 안되는 것으로 확인됨 아래 방법으로 추출 먼저 필터에 ftp 를 입력하여 정확하게 어떤 파일들이 전송되었는지 확인 (해당 화면에서는 zip.zip 파일이라는 것을 확인)그리고 필터에 ftp-data 를 입력하여 전송된 파일의 데이터를 추출함. 마지막 패킷에 오른쪽 마우스를 누른 후 Follow TCP Stream 를 누름출력되는 데이터 스트링은 전송된 파일의 완전한 파일 데이터해당 창의 Save As 를 눌러 파일을 저장하여 추출

LAND Attack 검색(ip.src == ip.dst) && (tcp.srcport == tcp.dstport || udp.srcport == udp.dstport) NMAP 을 이용한 ICMP Echo Request with no data 검색(ip.flags == 0x00) && (icmp.type == 8 && icmp.code == 0) && (icmp.seq == 0) && (not data) NMAP 을 이용한 TCP SYN to port 443 검색(ip.flags == 0x00) && (tcp.flags == 0x0002) && (tcp.dstport == 443) NMAP 을 이용한 TCP ACK to port 80 검색(ip.flags == 0x00) && (tcp.flags == ..