16.ÀÎÅÍ³Ý ¿¬°á ¹æȺ®ICF
Windows XP¿¡¼ ¿ÜºÎ °ø°ÝÀ» È¿À²ÀûÀ¸·Î Â÷´ÜÇϱâ À§ÇØ
ICF(Internet Connection Firewall)À» »ç¿ë Çϱâ·Î ÇÏ¿´´Ù.
¾Æ·¡¿Í °°ÀÌ ±¸¼ºÇÏ¿©¶ó.
1. 211.241.82.71¿¡¼¸¸ ¿ø°Ý µ¥½ºÅ©Åé ¼ºñ½º¿¡ Á¢±Ù °¡´ÉÇϵµ·Ï ¼³Á¤ÇÏ¿©¶ó.
2. ¿ø°Ý µ¥½ºÅ©Åé ¼ºñ½º¿¡ Á¢±Ù ¼º°øÇÑ ·Î±×¸¦ ³²±âµµ·Ï ¼³Á¤ÇÏ¿©¶ó.
3. ping ¿äû¿¡ ÀÀ´äÇÏÁö ¾Êµµ·Ï ¼³Á¤ÇÏ¿©¶ó.
17.À̺¥Æ® ·Î±× ºÐ¼®
¡ØC:LogParser¸¦ »ç¿ëÇϽÿÀ
ÇÇÇØ ½Ã½ºÅÛ¿¡¼ °¡Á®¿Â º¸¾È À̺¥Æ® ·Î±×(C:sec_security.evt)¸¦ ºÐ¼®ÇÏ¿©
¾Æ·¡ Áú¹®¿¡ ´äÇϽÿÀ. (½Ã°£Àº `2004-11-24 19:30:29` ÀÇ ÇüÅ·ΠÀÔ·ÂÇØ¾ß ÇÔ.)
1. ÃÖÃÊ Ä§ÀÔÀÚ°¡ ½Ã½ºÅÛ¿¡ ³×Æ®¿öÅ©·Î ·Î±×¿Â ¼º°øÇÑ ½Ã°£°ú »ç¿ëÀÚ¸í,
ÄÄÇ»ÅÍ À̸§Àº ¹«¾ùÀΰ¡?
=>
³×Æ®¿öÅ© ·Î±×¿Â À̺¥Æ® ID : 540
logparser "select * from sec_security.evt where eventid = 540" -o:csv > 515.csv
[·Î±×¿Â ¼º°øÇÑ ½Ã°£] : 2003-08-13 20:07:24
[»ç¿ëÀÚ¸í] : admin
[ÄÄÇ»ÅÍ À̸§] : SHANLUZ
Burst-Force Attack ¼º°ø EventID : 680, 576, 540, 538
³×Æ®¿öÅ© ·Î±×¿Â command session ¿¬°á ¼º°ø EventID : 680, 576, 540, 515
2. ¿ø°Ý ·Î±×¿Â¿¡ »ç¿ëµÈ ÇÁ·Î¼¼¼´Â ¹«¾ùÀΰ¡?
=> psexesvc.exe
3. µÎ ¹ø° ħÀÔÀÚ°¡ ½Ã½ºÅÛ¿¡ ³×Æ®¿öÅ©·Î ·Î±×¿Â ¼º°øÇÑ ½Ã°£°ú »ç¿ëÀÚ¸í,
ÄÄÇ»ÅÍ À̸§Àº ¹«¾ùÀΰ¡?
[·Î±×¿Â ¼º°øÇÑ ½Ã°£] :2003-08-13 20:24:25
[»ç¿ëÀÚ¸í] : admin
[ÄÄÇ»ÅÍ À̸§] : UHUHLY
4. ¿ø°Ý ·Î±×¿Â¿¡ »ç¿ëµÈ ÇÁ·Î¼¼¼ÀÇ À©µµ¿ì ¼ºñ½º ¸íÀº ¹«¾ùÀΰ¡?
=>Tlntsvr.exe
18.ÀÎÅÍ³Ý ÀͽºÇÃ·Î¾î ¾Ç¼º ÇÁ·Î±×·¥ ´ëÀÀ
2. ÀÎÅÍ³Ý ÀͽºÇ÷ξî ÁÖ¼Òâ¿¡ µî·ÏµÇÁö ¾ÊÀº µµ¸ÞÀÎÀ» ÀÔ·ÂÇÒ °æ¿ì
¿øÇÏÁö ¾Ê´Â »çÀÌÆ®(
http://prosearching.com)·Î À̵¿µÇ°í ÀÖ´Ù.
À§¿Í °ü·ÃµÈ ·¹Áö½ºÆ®¸® °ªÀ» ¸ðµÎ ã¾Æ
www.sis.or.kr·Î º¯°æÇ϶ó.
=> ¾Æ·¡¿¡ ³ª¿ÍÀÖ´Â ·¹Áö½ºÆ®¸®¸¦ ã¾Æ¼ ¹Ù²Ù¸éµÈ´Ù.
ȤÀº °Ë»öÇؼ º¯°æÇصµ °á°ú´Â °°´Ù.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
19.¾Ç¼º ÇÁ·Î±×·¥ ´ëÀÀ¼ºñ½º
À©µµ¿ì 2000 Server ½Ã½ºÅÛÀÌ ÇØÅ· ´çÇÑ °ÍÀ¸·Î ÀǽɵǾú´Ù.
¹é½Å ÇÁ·Î±×·¥À¸·Î ¹ÙÀÌ·¯½º °¨¿°¿©ºÎ¸¦ Á¶»çÇÏ¿´Áö¸¸ Ưº°ÇÑ ÀÌ»óÀº ¾ø¾ú´Ù.
½Ã½ºÅÛ °ü¸®ÀÚ°¡ À¯½ÉÈ÷ ÁöÄѺ» °á°ú ƯÁ¤ ³×Æ®¿öÅ© Æ÷Æ®¸¦ ÅëÇØ ½Ã½ºÅÛ¿¡
Áö¼ÓÀûÀ¸·Î Á¢±ÙÇÑ´Ù´Â »ç½Ç°ú ¼¹ö¸¦ Àç ºÎÆÃÇÏ¿©µµ
°è¼ÓÀûÀ¸·Î µ¿ÀÏÇÑ Çö»óÀÌ ¹ß»ýÇÑ´Ù´Â °ÍÀ» ¾Ë¾Ò´Ù.
1. ħÀÔÀÚ°¡ ¼³Ä¡ÇÑ ¹éµµ¾î ÆÄÀÏ À̸§°ú ¹éµµ¾î Æ÷Æ®´Â ¹«¾ùÀΰ¡?
¡ØC:fport¸¦ »ç¿ëÇϽÿÀ
fport ¸¦ ½ÇÇà½ÃÅ°¸é
pid3388 / c:\windows\system32\ismshrv.exe À̳༮ÀÌ ½ÇÇàµÇ°í ÀÖÀ½.
20.¾Ç¼º ÇÁ·Î±×·¥ ´ëÀÀdll
À©µµ¿ì 2000 Server ½Ã½ºÅÛÀÌ ÇØÅ· ´çÇÑ °ÍÀ¸·Î ÀǽɵǾú´Ù.
¹é½Å ÇÁ·Î±×·¥À¸·Î ¹ÙÀÌ·¯½º °¨¿°¿©ºÎ¸¦ Á¶»çÇÏ¿´Áö¸¸ Ưº°ÇÑ ÀÌ»óÀÌ ¾ø°í,
À©µµ¿ì ÀÛ¾÷ °ü¸®ÀÚ¸¦ ÅëÇØ ½ÇÇàÁßÀÎ ÇÁ·Î¼¼¼ ¸ñ·ÏÀ» Á¡°ËÇÏ¿©µµ ÀÇ½ÉµÉ ¸¸ÇÑ
ÇÁ·Î±×·¥ÀÌ ¾ø¾ú´Ù. ½Ã½ºÅÛ °ü¸®ÀÚ°¡ À¯½ÉÈ÷ ÁöÄѺ» °á°ú ħÀÔÀÚ°¡
µ¿Àû ¿¬°á ÆÄÀÏ(Dynamic Linking Library File)¸¦ ÀÌ¿ëÇÑ´Ù´Â °Í°ú
¼¹ö¸¦ Àç ºÎÆÃÇÏ¿©µµ °è¼ÓÀûÀ¸·Î µ¿ÀÏÇÑ Çö»óÀ» ¹ß»ý ½ÃŲ´Ù´Â °ÍÀ» ¾Ë¾Ò´Ù.
¶ÇÇÑ Æ¯Á¤ÇÑ ¿ÜºÎ À¥ ¼¹ö·Î ÀÏÁ¤ ½Ã°£¸¶´Ù SYNÆÐŶÀ» º¸³»°í ÀÖ´Ù´Â °Íµµ ¾Ë¾Ò´Ù.
1. ¾Ç¼º ÇÁ·Î±×·¥ÀÌ ÀÌ¿ëÇÏ°í ÀÖ´Â ¼ºñ½º À̸§°ú DLL ÆÄÀÏ, Æ÷Æ®´Â ¹«¾ùÀΰ¡?
¡ØC:\listdlls¸¦ »ç¿ëÇϽÿÀ
listdlls -? //µµ¿ò¸»À» º¼ ¼ö ÀÖ´Ù.
½Ã°£ÀÌ ³Ê¹« ¿À·¡ °É·Á¼ explorer¸¸ È®ÀÎÇغ¸¾Ò´Ù.
c:> listdlls explorer.exe
hgfs.dll ¸¸ ¹öÁ¯ Á¤º¸°¡ ³ª¿ÀÁö ¾Ê´Â´Ù.. ¼ö»óÇÑ°ÍÀ¸·Î ÆÇ´ÜÇß´Ù.
³ª¸ÓÁö ÀÌ·±°Íµéµµ ÀÖ´Ü´Ù.
iexplorer.dll
explorer.dll
msexcel.dll
21.¾Ç¼º ÇÁ·Î±×·¥ ´ëÀÀ.bat ·¹Áö½ºÆ®¸® ½ÇÇà
³×Æ®¿öÅ© °ü¸®ÀڷκÎÅÍ ÇöÀç »ç¿ëÁßÀÎ Windows ÄÄÇ»ÅÍ°¡ ÀÌ»ó Æ®·¡ÇÈÀÌ
¹ß»ýµÈ´Ù´Â º¸°í¸¦ ¹Þ¾Ò´Ù. CPU »ç¿ë·üÀ̳ª ¸Þ¸ð¸® Á¡À¯À²ÀÌ Æò¼Ò¿Í Å©°Ô
Â÷ÀÌ°¡ ¾ø°í, netstat ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© ³×Æ®¿öÅ© Á¢¼Ó »óȲÀ» Á¡°ËÇÏ¿©µµ
ƯÀÌÇÒ »çÇ×ÀÌ ¹ß°ßµÇÁö ¾Ê¾Ò´Ù. ±×·¯³ª À©µµ¿ì ¹èÄ¡ÇÁ·Î±×·¥ ½ÇÇàÇÒ ¶§¸¶´Ù µ¿½Ã¿¡
¾ËÁö ¸øÇÒ ÇÁ·Î¼¼¼°¡ ½ÃÀ۵ȴٴ °ÍÀ» ¾Ë¾Ò´Ù.
1. ¾Ç¼º ÇÁ·Î±×·¥ ½ÇÇà(.exe) ÆÄÀÏÀÇ Original FilenameÀº ¹«¾ùÀΰ¡?
2. ¾Ç¼º ÇÁ·Î±×·¥ Á¦ÀÛÀÚÀÇ Messenger ID´Â ¹«¾ùÀΰ¡?
3. ¾Ç¼º ÇÁ·Î±×·¥ÀÌ º¯°æÇÑ ½Ã½ºÅÛ È¯°æÀ» ¿ø·¡´ë·Î º¹±¸ ÇÏ¿©¶ó.
¡ØC:\exefileinfo, Process ExplorerµîÀ» »ç¿ëÇϽÿÀ
=> ÇÁ·Î¼¼½º ÀͽºÇ÷η¯¸¦ ½ÇÇà½ÃŲ´Ù.
À©µµ¿ì ¹èÄ¡ ÇÁ·Î±×·¥ÀÌ ¼ö»óÇÏ´Ù ÇßÀ¸´Ï system32\ ÆÄÀÏÀ» °Ë»öÇغ¸ÀÚ
3°³¿¡ ¹èÄ¡ÆÄÀÏÀÏ °Ë»öµÈ´Ù.
ready.bat
start.bat
parsng.bat
ready.batÀ» ½ÇÇà ½ÃÅ°·Î ÇÁ·Î¼¼½º ÀͽºÇ÷η¯¸¦ È®ÀÎÇØ º¸´Ï
igmp.exe ¶ó´Â ÇÁ·Î±×·¥ÀÌ Áö¼ÓÀûÀ¸·Î ½ÇÇà Á¾·á¸¦ ¹Ýº¹ÇÏ°í ÀÖ´Ù.
igmp.exe ÇÁ·Î±×·¥µµ system32\ Æú´õ¿¡ ÀÖ´Ù.
exefileinfo ÇÁ·Î±×·¥À» ÀÌ¿ëÇÏ¿© igmp.exe¸¦ ¿¾îº¸¸é
Á¦ÀÏ ¾Æ·¡ÂÊ¿¡ ÆÄÀÏ ¼³¸íÀÌ ³ª¿ÍÀÖ´Ù.
ÆÄÀÏ ¼³¸í : port of kiss of death dos attack to windows
¹öÁ¯ : 1.2.0.0
ÀúÀÛ±Ç : Kalibre (
metinsdr@hotmail.com)
ÃÖÃÊÆÄÀϸí : bomba.exe