전체 글289

• 바이러스의 정의 바이러스의 정의- 악성코드 중에 가장 기본적인 형태- 사용자 컴퓨터(네트워크로 공유된 컴퓨터 포함) 내에서 사용자 몰래 프로그램이나 실행 가능한 부분을 변형해 자신 또는 자신의 변형을 복사하는 프로그램을 말함- 최초의 악성 코드가 만들진 1980년대 이후에서 2000년대 초반까지 악성 코드의 주류를 차지 1세대 : 원시형 바이러스부트 바이러스플로피 디스크나 하드 디스크의 부트 섹터에 감염되는 바이러스로, 부팅할 때 자동으로 동작* 1단계 : POSTPOST는 하드웨어 자체가 시스템에 문제가 없는지 기본 사항을 스스로 체크하는 과정BIOS에 의해서 실행되는데, POST 도중 하드웨어에서 문제가 발견되면 사용자에게 여러 방법으로 그 문제를 알림.* 2단계 : CMOSCMOS에서는 기본 장치에 대한 설정과 부.. Security Study/System Security 2015. 9. 3.

• 웜이란? 웜의 등장* 웜(Worm)은 인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 프로그램을 의미* 1999년 다른 사람의 이메일 주소를 수집하고 스스로 전달되는 형태의 인터넷 웜이 출현하면서 일반인에게 웜이라는 용어가 알려지기 시작* 이메일에 첨부 파일 형태로 첨부되어 확산되거나, 운영체제나 프로그램의 보안 취약점을 이용하여 스스로 침투하는 것이 일반적* 현재는 mIRC 채팅 프로그램, P2P 파일 공유 프로그램, 이메일 관련 스크립트 기능, 네트워크 공유 기능 등의 허점을 이용하여 확산하고 증식하는 경우도 있어 피해와 부작용의 범위/크기가 계속 커지고 있음. MASS Mailer형 웜* MASS Mailer형 웜은 자기 자신을 포함하는 대량 메일 발송을 통해 확산* 최근 발생한 웜 중 약 40%.. Security Study/System Security 2015. 9. 3.

• 네트워크 상태 점검 네트워크 상태 점검하기시스템에서는 netstat와 같은 명령으로 열려 있는 포트를 확인할 수 있음. 네트워크 상태 점검하기* 악성코드가 사용하는 포트를 확인하기 어려운 경우 CPorts와 같은 프로그램을 사용하여 서비스 포트별로 사용하는 응용 프로그램을 확인할 수 있음.* BackDoor-DVR를 실행한 뒤 CPorts에서 활성화된 네트워크 항목을 살펴보면 특이한 연결이 존재 정상적인 프로세스와 비교하기* 윈도우와 유닉스 시스템 등의 정상적인 프로세스를 외워두면 비정상적인 프로세스를 식별하는 데 많은 도움이 됨.* 윈도우 시스템이 동작하기 위한 기본 프로세스 - Csrss.exe(Client/Server Runtime SubSystem : Win 32) : 윈도우 콘솔을 관장하고, 스레드를 생성·삭제하며.. Security Study/System Security 2015. 9. 3.

• 악성코드 대응 네트워크 상태 점검하기시스템에서는 netstat와 같은 명령으로 열려 있는 포트를 확인할 수 있음. 네트워크 상태 점검하기* 악성코드가 사용하는 포트를 확인하기 어려운 경우 CPorts와 같은 프로그램을 사용하여 서비스 포트별로 사용하는 응용 프로그램을 확인할 수 있음.* BackDoor-DVR를 실행한 뒤 CPorts에서 활성화된 네트워크 항목을 살펴보면 특이한 연결이 존재 정상적인 프로세스와 비교하기* 윈도우와 유닉스 시스템 등의 정상적인 프로세스를 외워두면 비정상적인 프로세스를 식별하는 데 많은 도움이 됨.* 윈도우 시스템이 동작하기 위한 기본 프로세스 - Csrss.exe(Client/Server Runtime SubSystem : Win 32) : 윈도우 콘솔을 관장하고, 스레드를 생성·삭제하며.. Security Study/System Security 2015. 9. 3.

• hash? 해시의 정의하나의 문자열을, 이를 상징하는 더 짧은 길이의 값이나 키로 변환하는 것 해시의 특징* 세 평문은 길이가 다르지만 해시 결과는 32개의 문자로 길이가 모두 같음. * 또한 둘째와 세째 평문은 단어 하나만 다를 뿐인데 해시 결과가 완전히 다름. * 이와 같은 결과는 해시값을 통해 해시되기 전의 값을 추측하는 것이 불가능하게 하는 해시의 특성 때문임. MD5* 32개의 16진수로 이루어졌음. * 16³² = 340,282,366,920,938,463,463,374,607,431,768,211,456 개의 결과값이 존재 * 이 수는 충분히 커 보이지만 무한은 아님. * 따라서 다른 데이터를 입력해도 해시 결과값이 같을 수 있음. - 이를 충돌(Collision)이라 함. * 충돌이 자주 일어나는 해.. Security Study/System Security 2015. 9. 3.

• BOF(buffer overflow) Security Study/System 2015. 9. 3.

• 카카오톡 비밀대화 분석 Certificate Pinning; SSL PinningEnd-to-end EncryptionPerfect Forward Secrecy Cain & Abel을 통한 MITM 공격Certificate PinningRSA 알고리즘, AES를 통하여 키를 주고받음송신자-> AES 키로 암호화된 내용을 서버에 보냄서버에서 복호화하여 내용을 저장, AES 키로 암호화 후 수신자에게 보냄End-to-end EncryptionHandshake 후 각자의 정보를 이용하여 복호화Perfect Forward SecrecySSL Pinning, 키값만 알면 뚫린다!실시간 도/감청은 불가정부의 정책으로 인해서의 데이터 수집이 있다면 또 모를까.카톡 서버에 데이터를 저장하는 이유?- 3일 ~ 일주일; 상대방이 받지 못했을 때.. Security Study/System 2015. 9. 3.

• XSS(크로스 사이트 스크립트)? 1. XSS란? Cross Site Scripting(XSS)의 약자이며, 특정페이지에 스크립트를 넣어서 세션을 가로채거나 공격자가 의도한대로 행동하도록 만드는 웹 공격의 일종이다. XSS는 크게 Reflected XSS와 Stored XSS로 분류할 수가 있다.Reflected XSS는 공격 스크립트가 삽입된 URL을 사용자가 쉽게 확인할 수 없도록 변형시킨 후 이메일이나 다른 웹사이트 등에 클릭을 유도하도록 하는 방법이다.Stored XSS는 스크립트를 일반 게시판 등에 공격자가 게시글에 스크립트를 삽입하여 사용자가 해당 페이지를 클릭하는 순간 스크립트가 실행하도록 하는 방법이다. 2. XSS를 이용한 공격 유형 4가지 ㄱ. 넣는 내용에 따라 다양한 기법을 구사할 수 있다. ex) ">http://s.. Security Study/Web 2015. 9. 3.

• What Is A Man In The Middle Attack? 원본 What Is A Man In The Middle Attack? In a sense, a man-in-the-middle attack (MITM) is like eavesdropping. Data is sent from point A (computer) to point B (server/website), and an attacker can get in-between these transmissions. They then set up tools programmed to “listen in” on transmissions, intercept data that is specifically targeted as valuable, and capture the data. Sometimes this data can .. Security Study/Web 2015. 9. 3.

• What Is A Man In The Middle Attack? Ⅰ. 서론 전 세계적으로 다양한 해킹 기법들이 존재하고 있다 웹을 통한 악성 행위와 . 다양한 어플리케이션을 타깃으로 하여 악성코드 유포 행위가 이어지고 있다. 또한 공유기 취약점 등을 이용한 공격 또는 서버간의 통신을 가운데에서 도청하는 듯한 공격 등이 많다. 오늘날 중간자 공격은 은행 관공서 신용회사 등을 장악할 수 있으며 이후 , , 공격자가 원하는 입맛대로 정보를 들을 수수 있게 되고 정보 탈취 이외에도 다양한 방법으로 이용할 수 있다. 해당 문서에서는 위와 같은 위협적인 중간자공격 기술을 익히기 이전에 이를 공부하고 응용하며 연구할 수 있는 중간자 공격에 대한 설명과 예방법을 소개 한다. Ⅱ. 본론 -What Is A Man In The Middle Attack? 중간자 공격 는 어떤 의미에서는.. Security Study/Web 2015. 9. 3.

• 리버스 엔지니어링이란? * 리버스 엔지니어링이란? - 흔히 역공학이라고 부른다.- 응용 프로그램의 내부 구조와 동작원리를 탐구하는 기술- 버그나 취약점 분석- 파일이나 메모리 직접수정- 새로운 기능을 추가 하여 프로그램의 기능 향상- C언어, 어셈블리, OS구조, 디버거 사용법 필요 * 정적분석 - 멈춘사진 - 파일의 겉모습 분석- 파일의 종류, 크기, 헤더정보, Import/ Export API, 내부 문자열 실행 입출여부, 등록정보, 디버깅 정보, 디지털 인증서, 내부코드 등 * 동적분석 - 동영상 - 파일을 실제로 실행싴켜 그 행위를 분석 디버깅으로 코드 흐름과 메모리 상태등을 자세히 살펴보는 행위[출처] 리버스 엔지니어링이란?|작성자 Zealous Security Study/Reversing 2015. 9. 3.

• 레지스터란? CPU 레지스터 우선 CPU가 무슨 일을 하는지 알아보자. 간단하게 CPU(Central Processing Unit)는 메모리로부터 명령어를 가져와서(fetch) 어떤 명령어인지 해석하고(decode) 실행하는(execute) 동작을 한다. CPU에 대해서는 리버싱 작업에서 많이 사용되는 레지스터에 대해서만 알아보도록 하겠다. 레지스터는 CPU 내부에 존재하는 작은 고속의 메모리라고 할 수 있다. 레지스터의 종류로는 범용 레지스터, 세그먼트 레지스터, 상태 플래그 레지스터, 명령 포인트 레지스터 등이 있다. 올리디버거에 나타나는 레지스터 정보를 살펴보자. 범용 레지스터 □ EAX(Extended Accumulator Register) 곱셈과 나눗셈 명령에서 자동으로 사용되고 함수의 리턴 값이 저장되는 .. Security Study/Reversing 2015. 9. 3.