Bastion Host def ) A bastion host is a system identified by the firewall administrator as a crtitical strong point in the network’s security. Bastion Host는 이름처럼 어그로가 집중되는 곳으로 다른 서비스에 대한 위협을 감소시키는...

Prefetch 프리패치(Prefetch)는 윈도우 XP 이후 운영체제에서 제공하는 메모리 관리 정책으로, 실행파일을 메모리로 로딩할 때의 효율을 최대한 끌어올리기 위한 목적으로 개발되었다. 실행 파일이 사용하는 시스템 자원을 프리패치 파일(.pf)에 저장해 두었다가, 부팅 시에 프리패치를 모두 메모리에 로드하는 방식이다. (실제 사용할 때에는 메모...

TLS는 확장 프로토콜로 Heartbeat를 사용한다. ( RFC 6520 ) Heartbeat는 Client와 Server가 connection이 제대로 유지되고 있는지 확인하기 위해 사용한다. Client는 Heartbeat를 이용하여 임의의 값을 그 길이와 함께 Server에 전송, Server는 받은 임의의 값을 Client에게 돌려보내는 과...

초기 분석 프로세스 확인 네트워크 패킷 확인 system32 확인 host파일 변조 확인 레지스트리 확인 주로 HKLM & HKCU\Software\Microsoft\Windows\CurrentVersion\Run.* Temp 폴더 확인 - 보통 다른이름으로 복사해 실행된다. 이후 여러 툴을 이용해 상세 분석하고,...

Event viewer -> system32 log (%SystemRoot%\inf\Setupapi.dev.log) -> registry 순으로 확인한다. 이벤트 뷰어랑 log는 기록이 누락되어 있는 경우가 잦다. 레지스트리를 직접 보려면 레지스트리 분석 도구를 이용해야 하기 때문에 어차피 도구를 이용할 거라면 USBDeview를 이용해...

hwp 파일이 삽입된 pct파일(mac 이미지 확장자)을 읽을 때, imsReadChar 함수를 사용하게 되는데, 이 때 size검사를 하지 않아 BOF 취약점이 존재한다. isgdi32.dll 로드 -> impct9.flt ( parser ) 로드 -> isgdi32.dll의 imsReadChar함수 호출 하는 식으로 동작한다. 1차 ...

DLL, Dynamic Link Library DLL은 자신을 필요로 하는 프로그램이 실행될 때, 프로그램과 별도로 최초 한 번만 physical memory에 loading 된 후 프로세스에 mapping 되는 방식으로 사용된다. OS는 dll별로 usage count를 유지하고 있으며 usage count가 0이 되면 이 dll을 참조하는 프로세스...

packer / protector packer 패킹은 실행 압축이다. 압축으로 PE file의 크기를 줄이는게 목적이다. 런타임에 언패킹 코드를 먼저 실행해 패킹이 풀리기 때문에, 메모리에 올라가는 코드는 차이가 없다. 압축하다보니 언패킹 하기 전 바이너리나 섹션, IAT 등이 안보이는 부수효과도 있다. 언패커가 공개되지 않은 패커일 경우 메뉴얼...

Base64 is a group of similar binary-to-text encoding . The Base64 index table: Value Char   Value Char   Value Char   Value Char 0 A 16 Q 32 g 48 w 1 B 17 R 33 h 49 x 2 C ...

$ ssh user\_name@remote\_host\_ip -p port client와 server가 SSH tunneling으로 연결되어 있는 상태에서 client가 server와 연결된 SSH tunneling 포트를 이용해 최종 호스트로 데이터를 전송하면 client는 SSH tunneling으로 연결되어 있는 포트로 들어오는 패킷을 SSL...