curation by zrungee curation by zrungee

지난 12월 12일, 예술의전당에서 국립오페라단의 라 트라비아타(La-traviata)의 올해 마지막 공연을 다녀왔다. 1. 원작 : 카멜리아 레이디(La Dame aux camélia) 19세기 프랑스의 낭만주의 작가 알렉상드르 뒤마. 그가 사랑했던 사교계의 코르티잔, 마리 뒤플레시가 23세에 폐렴으로 요절하자 그녀를 모델로 한 '카멜리아 레이디(동백아가씨, La Dame aux camélias)'가 완성되었다. 상류계층인 부르주아 계층의 남자인 아르망(Armant)과 사랑에 빠지지만 신분의 차이를 극복하지 못하고 죽음에 이르게 되는 병약했던 화류계 여성 마르그리트(Margrite)를 주인공으로 하고 있다. 화류계 여성의 사랑을 주제로 하고 있지만, 도덕적 관념을 벗어나지 않는 선에서 그녀를 연약한 존..

1.3. 루트킷 - 프로세스 은닉에 이용되는 기술 (1) IAT 후킹(유저레벨) 프로그램을 실행하게 되면, 하드디스크에 저장된 프로그램과 관련된 프로세스가 메모리에 적재된다.이 때 실행하는 프로그램은 PE(Portable Executive, 실행파일포맷) 구조로 되어있는데, 루트킷이 은닉하기 위한 기술 중 IAT Hooking에서는 프로그램 내부에 존재하는 PE구조에서도, IAT(Import Address Table)을 후킹하는 방식이다.이는 운영체제를 직접 후킹하는 것이 아니므로, 유저모드에서만 동작하는 후킹이다. 가. 실행파일 구조 WORD e_magic ; 시그니처(MZ)LONG e_lfanew ; PE HEADER 시작점 PE SignaturePE00 (5045) IMAGE..

ETRI개발 게임봇 판정기술 관련 기사 http://www.weeklytoday.com/news/articleView.html?idxno=26932 온라인 게임에서의 게임봇 대응 기술 동향 http://img.kisti.re.kr/originalView/originalView.jsp # 게임봇의 정의 핵, 봇(오토), 매트로 : 정상적인 게임플레이 방해 1) 서버 공격 프로그램 - 서버 관리자권한 획득하여 게임소스 탈취하여 분석 - 별도의 서비스 가능한 서버 제작 - 디도스 - 패킷 리플라이 공격하여 가용성 침해, 서버 다운 - 게임사 웹사이트에서 쿼리입력(SQL injection)으로 관리권한 획득 뒤, 유저 개인정보 탈취 2) 클라이언트 공격 프로그램 : 스피드핵, 데미지핵, 매크로, 메모리, 파일,..

#include // 1. WinMain() 함수int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){// 2. 윈도우 구조체 설정WNDCLASSEX wcex={};wcex.cbSize=sizeof(WNDCLASSEX);wcex.style=CS_HREDRAW | CS_VREDRAW;wcex.lpfnWndProc = WndProc;wcex.hInstance = hInstance;wcex.hbrBackground(HBRUSH)(COLOR_WINDOW+1);wcex.lpszClassName="win01"; // 3. 윈도우 구조체 OS에 등록RegisterClassEx(&wcex); // 4..

이번 포스팅에서 언급할 악성코드 탐지방법론은 일차적으로 백신에서 탐지하지 못하였는데 의심되는 악성코드가 어딘가에 있을 것이라 생각 될 때. 내 PC를 좀 더 깔끔한 환경에서 사용하고 싶을 때. 악성코드의 기본적인 특성을 바탕으로 수동으로 탐지하는 방법에 대해 기술할 것이다. 1. 프로세스 확인 가장 먼저 확인해야 할 것은 현재 실행되고 있는 프로세스 목록을 확인하는 것이다.현재 사용하고 있는 응용프로그램과 관련이 없는 프로세스를 판별하고, 비정상적인 프로세스를 의심해 나가는 것을 시작으로 한다. Windows 작업관리자 이외에, 원하는 정보를 한눈에 파악하기 쉬운 몇가지 툴을 아래와 같이 정리해보았다. 1) Procexp (Sysinternals) Microsoft에서 제공하는 Sysinternals T..

GNS3 GNS3은 시스코 장비에서 사용하는 것 처럼 에뮬레이팅이 가능한 프로그램이다. 네트워크망을 구성할 수 있도록 스위치와 라우터 등과 같은 네트환경을 구축할 수 있고, 시스코 장비를 구동시키는 OS프로그램과 같이 모든 명령어와 동작을 테스트할 수 있다. 라우터 라우터 설명에 앞서, 라우터 장비가 위치하는 네트워크 계층을 살펴보자.네트워크 계층에서는 하위 물리계층과 데이터링크계층을 거친 정보들이 통신될 수 있도록 '전달', '포워딩', '라우팅' 한다. Application Presentation Session Transport Network Datalink Physical 포워딩(Forwarding) : 패킷이 다음 스테이션으로 전달되는 방식라우팅(Routing) : 포워딩을 돕기 위해 라우팅 테이..

VMware OS를 가상으로 구축하여, 실제로 여러 대의 컴퓨터를 사용할 수 있는 듯한 효과를 볼 수 있는 가상머신(Virtual Machine)이다. 우리는 윈도우체계의 OS를 사용하면서도 VMware를 통해 리눅스OS를 포함한 여러 OS, 혹은 또 다른 윈도우를 운영할 수 있다. 보통 우리는 하나의 호스트PC에 여러 개의 네트워크를 가상으로 구성할 때 VMware를 사용하기도 한다. 그렇다면 VMware에서 제공하는 다양한 네트워크 모드를 목적에 알맞게 사용하기 위해 각 모드들을 살펴보자. Virtual Network Editor에서 네트워크 설정을 추가하는 것은 아래와 같다. 1. Network 추가 우리가 VM에서 통신할 때, 스위치를 통해 네트워킹한다. 이 ..

지난 포스팅에서 NTFS 파일시스템의 전반적인 구조를 살펴보았다. NTFS 파일시스템의 MFT에는 메타데이터 파일이라고 불리는 여러개의 MFT 엔트리로 구성되어 있다. [NTFS 파일시스템 구조] 그 중에서도 이번 포스팅에서 다룰 것은 '$LogFIle' 엔트리이다. [MFT 엔트리] [ $LogFile 구조] $MFT가 파일시스템에 존재하는 메타데이터를 저장하는 공간이라면, $LogFile은 메타데이터의 트랜잭션(Transaction) 파일을 저장하고 있다. 따라서 $MFT에 남아있지 않은 이벤트 분석이 가능하다. $LogFile은 각 '페이지'단위로 구성된 재시작 영역(Restart Area)와 로깅 영역(Logging Area)로 구성되어있고, 각 페이지는 페이지 헤더와 여러 개의 레코드 들로 구성..