본문 바로가기

모니터링

제2회 IGRUS 해킹 대회 출제자 보고서(6번) 6번 문제 : dakuo@.exe 를 실행시켜서 답을 구하세요. 문제풀이------------------------------------------------------------------------------------------------ 6번 문제 : 1. 출제의도 : 이문제를 낸 이유는 리버싱을 할때 선행 단계들을 무시한 채 ( 리버싱 수행단계 : http://dakuo.tistory.com/21 ) 무작정 올리디버거에 넣고 보는 사람들에게 경고를 하기 위해서 출제했습니다. (동적분석 없이 바로 정적분석으로 넘어가는) 2. 문제풀이 : 리버싱 수행단계에 의해서 1. 바이너리 분석을 해본다. HexWorkshop과 PEID 로 분석결과 별 특이점을 찾지 못했습니다. 2. 문자열과 API, DLL .. 더보기
네트워크 모니터링 툴(Network-Monitoring Tool) 네트워크 모니터링 툴(Network-Monitoring Tool) : 프로그램들이 외부와 어떤 통신을 하고 있는지 확인하는 용도로 사용한다. 대표적인 툴로 와이어샤크(wireshark)가 있다. (참조 : http://www.wireshark.org/) 무료로 사용할 수 있고 패킷(packet) 캡처 툴로 다양한 프로토콜(protocol)로 전송되는 것드을 분석해서 보여준다. 와이어샤크는 WinPcap 네트워크 제어 라이브러리를 사용하고 있다. 따라서 설치중에 같이 설치된다. 실행후 네트워크 카드를 선택해주고, 필터링할 옵션만 넣어주면 바로 네트워크 패킷들을 캡처한다. 툴바의 첫 번째 버튼을 클릭하면 네트워크 인터페이스를 선택하는 화면이 나타나는데 자신이 사용하는 인터페이스의 start 버튼을 누르면 모.. 더보기
시스템 모니터링 툴 파일과 레지스트리 변화와 네트워크 상태, 프로세스의 상태를 분석하는 툴들을 소개한다. (2010. 11. 15. 월요일 확인결과 Filemon 이 없어지고 Process Moniter 가 생겼네요. 사용법은 똑같으니 다운받아서 아래처럼 사용하세요 ㅎㅎ) ProcessMonitor : 어플리케이션이 파일들을 어떻게 사용하는지 실시간으로 모니터링해서 오픈, 읽기, 쓰기, 삭제 등의 상황을 정확히 출력해준다. Filemon.exe를 실행하면 돋보기 모양 : 모니터링(Ctrl+E), 모리시계모양 : 필터링(Ctrl+L) 돋보기 모양의 모니터링 버튼(Ctrl+E)을 이용하여 모니터링 시작 · 중지를 할수 있다. 프로그램을 켜놓기만 하면 이벤트 정보가 로그로 쌓이지만 그 양이 너무 많아서 옵션을 주어야 한다. 먼저.. 더보기