Monthly Archives: December 2017

Microsoft 공식 파일 해시 체크 도구 – Fciv

이 툴의 다운로드 경로는 다음과 같다. http://www.microsoft.com/download/en/details.aspx?id=11533 C:\Users\juhan>fciv.exe /? // // File Checksum Integrity Verifier version 2.05. // Entry to Add: Path is too long or missing. Exiting… Usage: fciv.exe [Commands] <Options> Commands: ( Default -add ) -add <file | dir> : Compute hash and send to output (default screen). dir options: -r : recursive.

Read More

스레드 – ETHREAD, KTHREAD

스레드 구조체는 ETHREAD에 정의되어 있다. dt _ETHREAD, dt _KTHREAD 명령을 실행하면 아래와 같이 ETHREAD의 각 구조체 정의를 확인 할 수 있게 된다. ETHTEAD에서 중요한 필드는 다음과 같다. KTHREAD 블록: KTHREAD 데이터 구조체 스레드 시간 정보: 스레드 생성과 종료 시간 프로세스 식별: 프로세스의 ID와 스레드 ID 시작주소: 스레드 시작 루틴이 있는 주소 가장정보: 엑세스 토큰과 가장

Read More

THREAD – ETHREAD, KTHREAD

The thread structure is defined in the ETHREAD. dt _ETHREAD, dt _KTHREAD When you run the command, as shown below, each structure definition ETHREADwill be able to check. ETHTEADis an important field is as follows. KTHREAD block: KTHREAD data structure Thread time information: Thread creation and end times Process identification: The process IDand thread ID The start address: The address of the thread

Read More

Elasticsearch – Term 쿼리

지정한 단어가 들어있는지를 확인한다.   GET /_search { “query”: { “filtered”: { “filter”: { “term”: {” programname”: “WHORUEventAuth”} } } } }   위와 같이 검색한다면 WHORUEventAuth 와 동일한 단어가 들어있는 Document들은 검색대상이 된다. 다만 단어 하나와 완전히 일치해야 한다. 즉 WHORUEventAuth 가 WHORUEvent 로 검색할 경우에는 검색되지 않는다. NEST를 이용한 검색 구분은 다음과 같다

Read More

Process – EPROCESS, KPROCESS

Well first make sure about the process and let the EPROCESSstructure. The massive structure is to have as much information as. Ahead of the baby, but I am trying to memorize all the details, let’s not. In the analysis of the important points to understand the flow and the station can be called. You can

Read More

프로세스 – EPROCESS, KPROCESS

그럼 먼저 프로세스 구조체인 EPROCESS에 대해 확인해 보자. 거대한 구조체인만큼 많은 정보를 가지고 있다. 앞서 애기하였지만, 모든 내용을 암기하려 하지 말자. 역분석에서 중요한 포인트는 흐름과 이해라 할 수 있다. EPROCESS를 통해 확인 할 수 있는 정보는 상당하다. 그도 그럴것이, 운영체제는 프로세스를 지윈하기 위한 사전에 마련된 공간과 같다. 이를 각프로세스들이 자신에 필요한 만큼 가져가고, 설정하여 사용하므로써,

Read More

EPROCESS와 KPROCESS, ETHREAD, KTHREAD 구조체

프로세스를 관리하기 위해 커널에서 사용하는 EPROCESS와 KPROCESS, ETHREAD, KTHREAD 구조체에 대해 더 자세히 알아보도록 하자. 프로세스와 스레드에 대한 정보를 담고 있는 만큼 이 와 연결된 서브 구조체들도 상당히 많다. 운영체제의 우리가 파악하고자 하는 프로세스와 스레드의 모든 정보가 여기 이 구조체를 파악함으로써 이해할 수 있게 된다. EPROCESS에서는 KPROCESS(Kernel process block)의 포인터를 통해 프로세스 정보들과 프로세스에서 생성되는

Read More

Ubuntu Firewall setting By UFW

The basic firewall in Ubuntu is UFW. So here’s how to use the basic UFW.. UFW enable/disable sudo ufw enable sudo ufw disable Displays a warning that the firewall will be blocked on activation. Allow and block UFW Port base, Service base: sudo ufw allow <port>/<optional: protocol> sudo ufw allow 80 sudo ufw allow 80/tcp sudo

Read More

PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG

PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG Here we will configure Elasticsearch as a cluster and configure the ability to collect logs centrally via syslog. Step.1 check to ip address for connect to ssh sudo apt-get install ssh   Step.2 Install java and apply evn sudo apt-get install software-properties-common sudo add-apt-repository ppa:webupd8team/java sudo

Read More