2015. 12. 22. 21:58

sql server

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

sql server는 날짜함수에 계속 약해왔음

-> 버그

trace flag(추적 플래그) 4199

https://support.microsoft.com/en-us/kb/974006

-> 2014에서 해결됨

where 절에서 and /or 나열시 작성순서대로 나열되지 않음 -> sql 2000버전과 이 후버전에서 달리 나타남

-> 건수, 행수 알아낸다음에 나머지 검색 -> 2000 이후

-> equal 먼저 검색 -> 2000 이전

-> 버전이 바뀌고 나서 쿼리 처리 속도의 변화 생김

-> 각기 다른 case별 flag들을 각기 쓰는 것이 아닌 한방에 처리하겠다 -> trace flag 4199

인덱스 추가 후 결과 정합성 문제

-> hotfix 설치후 TF4199적용 필요

-> sql server 2014 + sp1 에서 TF4199

-> 외국에선 이미 default, 국내에서는 운영중인 시스템에 적용했을시 리스크때문에 잘 적용 안되고 있는 현실

-----------

select * from dbo.Orders

where OrderID IN (select orderID from Customers);

-> FAIL

select * from dbo.Orders

where OrderID IN (select orderID.asd from Customers);

조건이 불만족 상태에서 모든 결과가 출력되는 case

->테이블 이름만 쓰지말고 별칭을 혼용할 필요가 있음

---------------

단일 열 값 동적 검색 조건

-> 만능조회 쿼리

declare @sflag int= 10250

select * from dbo.Orders where OrderID in (10248, @sflag, @2, @3, @4, @5 )

split -> 가장 안 좋은 방법

select * from Northwind.dbo.Orders

where

Intersect -> 교집합 구하는 함수

intersect

(

select 10248 union all

...

------------

TVP -> .net에서만 가능 -> 대량의 데이터를 매게변수로 변환 가능

client에서 넘길때 XML로 넘겨서 join

CT -> 제귀 호줄 -> split과 같은 기능으로 활용 가능

---------------

쿼리가 실행이 되다가 갑자기 느려짐 -> duration 이 느려짐, 5분 간격 -> 주기적으로 튀는 현상

-> background에서 정기적으로 도는게 없는지 확인

-> 외부이중화 솔루션이 원인(ms클러스터링말고 디스크 동기화, 복제가 돌았었음)

------------

대용량 테이블 인덱스 작업

-> default 제약 조건 확인

----------

- sort작없을 temp DB에서

-> 메모리에서 안하고 디스크에서하면 엄청 느려짐

-> 프로파일러 sort warning 이벤트 발생

-> 쿼리가 느려질수 밖에 없음

-> hash warning

-> ...

sort warning 유발자

-> agent job 쿼리 문제? -> 알고보니 사용자 쿼리가 아니라 update statistics 쿼리가 원인

-> ms 버그

-> 일반적으로 크게 원인이 되지는 않음

-------------

sch-m,. sch-s 차단

alter table 차단 -> 수정한 내용이 테이블과는 아무런 관계가 없음에도 차단됨

->

-------------

테이블 변수가 가지고 있는 문제

-> 행수 예측을 못함 -> 통계를 못함

-> 런타임에 변수가 생성 -> 쿼리를 컴파일하는 단계에서는 없는 상태

-> 예상행수에 0은 없음 -> 예상 행수는 1건

-> 테이블 변수를 다른 쿼리와 같이 쓸경우 주의 필요

TF2453 flag 이용 가능

-> DBCC TRACEON(2453,-1)

-> 쿼리 트레이스 힌트지원 안됨 -> 다소 risky

-> OPTION(RECOMPILE) -> sql server 만병통치약

-> 부하 측면에서 보면 TF2453이 가벼울거라는 의견

KB2952444 문서 참조

----------

리소스에 대량의 대기 발생

-> tempdb에 병목 -> pagelatch_up -> 메모리 구조에 대한 대기

-> 동시에 대량의 처리가 일어나야 발생하는 흔치 않은 상황

-> sort warning 같은 종류의 이벤트가 발생시,

tempdb에 새로운 페이지를 할당하는 작업을 하면서 발생 -> 시스템 성능 해악

------------

update 문에서 join걸 때

-> source table 쪽에 NOLOCK 사용시 문제 발생될 수 있음

-> KB2878968 패치 나왔지만 NOLOCK사용시 문제

------------

sp_reset_connection (connection Pooling)

-> 시스템 저장 프로시져

-> .NET은 주로 하지만 java는 connection pooling 주로 안 함

-----------

가변 길이 +NULL 열로 INSERT 후 UPDATE 실험

-> split 유발

-> varchar 길이보다는 고정길이 char로 하는 것이 나음

--------------

원격 서버에서 네트워크를 거쳐오는 쿼리 시간이 네트워크 때문에 길어지는 현상 -> 결과 출력 생략하여 실제 수행 속도 확인

-> 쿼리 옵션 -> 표 ->

-----------

실행계획 재사용 이슈 -> 불균등 분포 -> 잘되다 갑자기 느려짐

option(recompile)

---------------

힘수 내부 쿼리의 불균등 분포

-> 함수 안에 사용한 select 쿼리

------------

실제 재사용 이슈, if ~ else

-> 프로시져 안에 if else 구분 사용

-> 특정 매계변수 넘길때만 지연 발생

-> option(recompile) 하면 줄어듬

-----------

option(recompile) 버그

-> 잘못된 바인딩

-> 최신 버전은 패치된 상태

https://support.microsoft.com/en-us/kb/2965069

--------------

Calender- loop join 방지

-> 테이블 조합 방법은 join만 있는게 아니라 union도 사용가능하다는 사실

-> calender 테이블 별도로 구성 -> rdb에서 테이블을 결합하는 방법 -> join / union 서로 대체 가능

-> union으로 별도 처리

-----------

merge 문 버그

-> 기능은 좋으나 버그가 많음

------------

조건문 구성시 -> if else

-> update 친후 -> if @@row=0 면 insert /else....

-> merge 문 사용하여 조건문 구성

---------

recursive CTE 성능 고려사항

CTE가 적합한 경우

-> 중복 부모가 아닌 경우

-> 위에서 아래로 내려오는 경우

-> 아래서 위로 한 번만 올라가는 경우

-> 조건자가 단순한 경우

-> 그렇지 않은 경우

-> 행 수 예측 오류, spool 연산 고비용 등 이슈 검토 후 튜닝

-> 혹은 while + 쿼리 튜닝으로 대체 고려

----------

다중문 테이블 값 함수를 IN 서브쿼리에 사용 시 주의

select * from orders

where orderID IN (select value from dbo.uf_func());

-> 문제가 되면 join 구문으로 바꿀 필요 있음

-> IN에 있는 distinct와의 문제

저작자표시 비영리 변경금지 (새창열림)

'In centum city > Seminar' 카테고리의 다른 글

wireless security (0)	2015.12.16
SDN seminar (0)	2015.10.21
InfoSec seminar 2 (0)	2015.10.07
infoSec seminar (0)	2015.10.07

Posted by af334

2015. 12. 16. 21:40

In centum city/Seminar

wireless security

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

netsh

netsh wlan hostednetwork mode=allow ssid=wi123 key=asdf

-> 유선 네트워크 연결된 PC를 AP로 설정하여 Rogue AP로 사용

공장초기화상태의 ssid와 비번을 사용하여 자동 연결 설정되어있을시 악성AP로 자동 연결되게 설정함

저작자표시 비영리 변경금지 (새창열림)

'In centum city > Seminar' 카테고리의 다른 글

sql server (0)	2015.12.22
SDN seminar (0)	2015.10.21
InfoSec seminar 2 (0)	2015.10.07
infoSec seminar (0)	2015.10.07

Posted by af334

2015. 10. 21. 20:19

In centum city/Seminar

SDN seminar

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

Section 1: 네트워크의 복잡성과 SDN의 필요성

hop by hop 방식 네트워크의 비효율성

NMS가 모든걸 커버하지 못함

논리적 가상화로 인한 복잡성

cisco가 개발한 datacenter 용 넥서스 스위치 -> 현실은 datacenter가 아닌 곳에서도 굳이 넥서스 스위치를 구매하게 됨

-> 네트워크 부분에서 유연성이 떨어짐

stp -> fail over는 하지만 load balancing 하지 않음 -> 하려면 vlan.....

-> 비효율성

->best route 만 봄-> NPLS 이용 -> 더 복잡

-> 네트워크 장비 자체의 구조에 문제가 있다

management plane (구성, 관리) |

| --> software

control plane (경로결정) |

-> 같은 과정을 반복해서 수행 |

data plane (데이터 옮기기) -> ex) ttl -> Hardware

-> control plane을 빼내고 장비에는 data plane만 넣자 -> SDN

-> google, facebook은 자체 개발한 SDN을 이미 사용중

------------

SDN Software (management plane) SNMP, SSH, Telnet, NetConf... -> application

|

Control plane -> link discovering, topology, path관리 , monitoring -> controller

| -> L2, L3, FW IDS/IPS 유동적으로 생성 관리

-> 경로를 결정하는 부분, 특정 포트에서 다른 포트로의 방향 결정.

|

Big switch

|

Data plane....... -> infrastructure

NMS의 한계

-> NMS는 vendor specific한게 많다

-> NOt adaptive

-> network omniscience

->

-----------------

Section 2

SDN 새로운 솔루션

-> 중앙비중관리가 필요, 프로토콜의 비효율성 극복이 필요할때 SDN에 대한 검토

-> 각 장비를 따로 만질 필요 없어짐

-> control plane과 연결 필요

-> 장비들 자체를 가상화 시킴

-> SDN Controller는 Software이다

-> 일부 오픈소스 컨트롤러는 무료

data flow 관리

controller 배치 방법

-> primary secondary

-> 분산 배치

-> multiple 배치

North, South, East, West 트래픽

데이터 사이의 트래픽 -> west, east

controller 와 주고 받는 트래픽 -> north, south

-> 어떤 flow table을 만들어야 하는지 controller에 질의

south bound : data <-> controller

north bound : controller <-> application

southbound APIs -> vender에 따라서 다른 부분들이 결정됨

OpenFLow

(Open network foundation)

cisco onePK

니시라

BigSwitch(물리적, 가상 부합)

나인네트웍스(국내 처음 SDN startup)

-------------------------------------------

SDN의 application 부분 시장 동향

controller이 application의 영향을 받아서 -> intelligent 네트워크 구성

단일 일 경우 management

다수 일 경우 application 이라고 불림

------------

Northbound APIs

-> 표준이 없는 상태

-> OPenstack Neutron,

VMware NSX, (니시라와 통합)

VMware vCNS,

Cisco APIC

---------------

OpenFlow API

openflow.org ->ONF (open network foundation) -> openflow기반 SDN을 확장 중인 단체 -> 2.0 개발중

->SDN이 openflow는 아니다

-> flow table에 정보가 없으면 controller에게 질의

NFV

opendaylight

-------------------

-> 네트워크 장비 구조 자체가 변하지 않으면 장비 가격 인하도 있기 힘들다

-> cisco도 아직은 방향성이 없는 상태 -> 네트워크필드 변화 가능성

-----------------

section 3 : nework functions virtualization

-> 기본적으로는 overlay를 일컬음

-> cisco는 data plane 장비 없는 상태

HP, extreme

-> data plane에 적극적

-> hardware에서 발전이 부진하기 때문에 SDN이 늦어짐

-> 가상 서버 안에 L2 가상 스위치가 이미 많이 쓰여지고 있는 상태

-> 가상이 시스템안에 여러개가 있으면 보안 문제 발생 쉬움

-> 가상 스위치가 L2밖에 안 되니

-> 가상화 부분부터 SDN을 적용하자는 의견 지배적 -> VMware NSX

-> 가상화 영역에서 sdn을 시작하자 -> NISIRA -> NVP(network virtualization product)

-> VMware인수 -> NSX

-> 물리적인 네트워크를 무시하는 기술 -> overlay

-> VXLAN, STT 프로토콜

-> BigSwitch -> openflow에 맞는 switch 자체 제작

-> 물리적인 인프라까지 포함해야 실질적인 SDN이다

-> native SDN

-> vender들은 자신만의 SDN과 물리적 하드웨어 제작하려함 -> cisco onepk??

ONE (open network environment) -> cisco가 내건 대항마

고객은 네트워크가 좀더 intelligent하기를 바라는 희망이 있음

-> application의 요구 조건을 SDN에 적용

-> openflow는 아직 모든 장비를 세세히 컨트롤하지 못하지만 cisco는 세부 컨트롤 가능하게끔 함

overlay + native -> hybrid SDN

(virtual extensible LAN)

VXLAN -> 가상스위치와 가상스위치간의 overlay기술

-> 일종의 VPN

-> 네트워크 위에 네트워크

STT

...

-> 물리적인 부분을 무시하고 가상 환경에 대한 별도의 네트워크를 구성하려고 할때 사용

VTEP(VXLAN Tunnel End Point)

-> 유니케스트만 일반적으로 라우팅함

-> 물리적인 환경에 멀티케스트 환경이 구축되어야 overlay기술 사용가능

STT(stateless transposrt tunneling) -> 지금은 사용 안 됨

오픈스택 안에 있는 가상 스위치중 data plane 역할하는 스위치 -> open vSwitch

NVGRE

OTV -> 시스코 전용 (표준은 아님)

DOVE -> IBM이 만든 overlay 기술

---------------------

SDN 업체 동향

IBM

HP

VMware

Big Switch

Cisco

...

overlay기반의 SDN

juniper

big switch .

....

virtual network device provider

vmware

citrix

F5

Brocade

Microsoft

HP

...

openFlow-Enabled hardware provider

HP

Juniper

IBM

dell

...

network management software provider

Huawei

...

기존의 물리적인 장비의 firmware 업글하여 openflow, SDN 지원 가능하게

Flowscale

Floodlight

-> 오픈소스이기는 하지만 돈내야함

opendaylight

->

www.openflowhub.org

onrc.stanford.??

------------

cloud computing

SDDC (software defined data center)

-> virtualization + SDS (service defined ...) + SDN

SaaS -> software as a service

PaaS -> platform as a service, 개발 환경에 대한

IaaS -> infrastructure as a service, 인프라에 대한

-> SDN은 IaaS에 적용 된다 볼 수 있음

--------------------

SDN이 application에 미치는 영향

-> 네트워크 function이나 요구 조건을 알 수 있다

-> ex) 물리적인 대역폭 정보를 application에 전달하는 것은 현재 불가능

-> SDN을 이용시 controller가 링크, path, monitor.. 관련 정보 수집 후 application에게 전달

-> intelligent application

network visibility - bandwidth, latency, connectivity, security

network ... - bandwidth, latency, connectivity, security

server, network

role의 변화 -> (SDN이 필요한 조건인 회사인 경우) 네트워크, 서버, 보안 엔지니어간에 경계도 없어질 가능성이 큼

-> 모든 곳에 SDN을 도입할 필요는 없음

-> 어느 부분까지 SDN을 도입할 것인가

-> 중소사이트까지 적용되기까지는 시간이 걸릴 것으로 예상

-> 떨어진 기능들을 연동해야 하니 개념을 잡는 것이 필요 -> 모두에게 피곤한 기술이 될일이다

저작자표시 비영리 변경금지 (새창열림)

'In centum city > Seminar' 카테고리의 다른 글

sql server (0)	2015.12.22
wireless security (0)	2015.12.16
InfoSec seminar 2 (0)	2015.10.07
infoSec seminar (0)	2015.10.07

Posted by af334

2015. 10. 7. 21:00

In centum city/Seminar

InfoSec seminar 2

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

IOC -> 프로그램짜서 효율적으로 다수의 호스트를 검사

Redline -> .NET 필수

-> 무거움

-> 무료도 있지만 제대로 쓰려면 유료로 하는게 나음

-> 메모리 뿐만아니라 징후가 있을만한 모든 자료 수집

-> 자기가 수집한 덤프만 분석 가능

-> collector 구성 -> usb에 담아서 해당 host의 자료 수집

collector.vol1.egg

collector.vol2.egg

sysinternals 다운

https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

PsExec 와 같이 사용

관리자 권한으로 cmd실행

PS C:\> .\PsExec.exe -s -i -d 'C:\Windows\System32\cmd.exe'

---------------

생성된 cmd(커널단)에서 RunRedlineAudit.bat 찾아서 실행 -> 오래걸림

PS C:\Windows\system32> cd /

PS C:\> .\PsExec.exe -s -i -d 'C:\Windows\System32\cmd.exe'

PsExec v2.11 - Execute processes remotely

Sysinternals - www.sysinternals.com

C:\Windows\System32\cmd.exe started on BITEC101-PC with process ID 6712.

-> Analyze collected data

---------------------------------

샌드박스 I(아이)

SandboxieInstall.exe

buster sandbox analyzer 연동

-> 악성코드 하는 짓 확인

-> sandbox와 연동하여 사용 -> bsa도움말 -> installation and usage 에서 키값 세줄 복사 -> 디렉토리 설정

-------------------

cuckoo sandbox

우분투(리눅스) + 가상화(virtual box)베이스 -> 자동샌드박스를 만들어주는 역할을 함

리눅스에 VM 만들고 윈도우깔고 cuckoo

리눅스가 native가 아니면 중첩 VM -> 많은 메모리 사용

-> 자체 virus total을 만드는 효과 -> 사내 PC에 셋팅 하면 좋음

-> submit하면 자동적으로 악성코드가 가상 windows에서 실행되어 악성코드가 하는일 자동 실행, 분석

-> virus total과 연동되어 결과 확인 가능

-> 악성코드 탐지 자동화 가능

저작자표시 비영리 변경금지 (새창열림)

'In centum city > Seminar' 카테고리의 다른 글

sql server (0)	2015.12.22
wireless security (0)	2015.12.16
SDN seminar (0)	2015.10.21
infoSec seminar (0)	2015.10.07

Posted by af334

2015. 10. 7. 20:07

In centum city/Seminar

infoSec seminar

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

침해사고대응

수집, 분석 -> 수집

OOV (Order of Volatility) - 휘발도

메모리 - 하드디스크

-> 디스크 리커버리 -> 데이터 복구 -> 메타정보 기반으로 복구

-> 데이터 카빙 -> 메타정보 없어, 파일시스템에서 찾음

메모리 수집 -> 물리 메모리 수집 -> Live data collection(조금 지난 방식)

-> Memory Forensic(최근 동향) -> DumpIt(32bit/64bit동시호환)사용 -> 영구적보관, 분석

DumpIt.exe

-> 다른 건 32bit로 64bit 덤프 못함

-> 금융권에서는 베카?? 사용

Memory 분석도구

volitality -> 파이썬 base -> 메모리만 분석

-> 외부 덤프 분석 가능

fireEye의 red line -> 자기가 분석한 덤프만 분석 가능

-> 수집시 광범위하게 오래걸림

정적 - 리버싱

동적 - vm(가상머신) -> 가상시스템에서는 작동안하는 악성코드 -> 샌드박싱 필요

-> 하나하나 돌리기

-> 샌드박스아이 -> 동적,정적...한번에

-> zerowine -> 많이 죽었음

-> cuckoo 2.0 -> 사내에 virus total을 만드는 개념 -> 감염파일에 대한 기밀성 보장

-> 설치,셋팅하는데 오래걸림

네트워크 포렌직 -> 비용이 많이 듦 -> 펄, 파이썬이용해서 자동화

FTK imager 참고

volatility로 윈도우, IOS, 안드로이드 분석가능

VMware -> 스냅샷 -> VMEM파일에 메모리 수집됨

https://code.google.com/p/volatility/ -> standalone은 확장 기능 사용 불가

infected.vmem -> 대상 메모리 덤프 파일

vol.exe -f .\infetced.vmem imageinfo -> 이미지에 대한 정보

----------------------------

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem

Volatility Foundation Volatility Framework 2.4

ERROR : volatility.debug : You must specify something to do (try -h)

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem imageinfo

Volatility Foundation Volatility Framework 2.4

Determining profile based on KDBG search...

Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)

AS Layer1 : IA32PagedMemoryPae (Kernel AS)

AS Layer2 : FileAddressSpace (C:\volatility_2.4.win.standalone\infetced.vmem)

PAE type : PAE

DTB : 0x319000L

KDBG : 0x80544ce0L

Number of Processors : 1

Image Type (Service Pack) : 2

KPCR for CPU 0 : 0xffdff000L

KUSER_SHARED_DATA : 0xffdf0000L

Image date and time : 2010-08-15 19:17:56 UTC+0000

Image local date and time : 2010-08-15 15:17:56 -0400

PS C:\volatility_2.4.win.standalone>

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem --profile=WinXPSP2x86 pslist

Volatility Foundation Volatility Framework 2.4

Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit

---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ -------------

-----------------

0x810b1660 System 4 0 58 379 ------ 0

0xff2ab020 smss.exe 544 4 3 21 ------ 0 2010-08-11 06:06:21 UTC+0000

0xff1ecda0 csrss.exe 608 544 10 410 0 0 2010-08-11 06:06:23 UTC+0000

0xff1ec978 winlogon.exe 632 544 24 536 0 0 2010-08-11 06:06:23 UTC+0000

0xff247020 services.exe 676 632 16 288 0 0 2010-08-11 06:06:24 UTC+0000

0xff255020 lsass.exe 688 632 21 405 0 0 2010-08-11 06:06:24 UTC+0000

0xff218230 vmacthlp.exe 844 676 1 37 0 0 2010-08-11 06:06:24 UTC+0000

0x80ff88d8 svchost.exe 856 676 29 336 0 0 2010-08-11 06:06:24 UTC+0000

0xff217560 svchost.exe 936 676 11 288 0 0 2010-08-11 06:06:24 UTC+0000

0x80fbf910 svchost.exe 1028 676 88 1424 0 0 2010-08-11 06:06:24 UTC+0000

0xff22d558 svchost.exe 1088 676 7 93 0 0 2010-08-11 06:06:25 UTC+0000

0xff203b80 svchost.exe 1148 676 15 217 0 0 2010-08-11 06:06:26 UTC+0000

0xff1d7da0 spoolsv.exe 1432 676 14 145 0 0 2010-08-11 06:06:26 UTC+0000

0xff1b8b28 vmtoolsd.exe 1668 676 5 225 0 0 2010-08-11 06:06:35 UTC+0000

0xff1fdc88 VMUpgradeHelper 1788 676 5 112 0 0 2010-08-11 06:06:38 UTC+0000

0xff143b28 TPAutoConnSvc.e 1968 676 5 106 0 0 2010-08-11 06:06:39 UTC+0000

0xff25a7e0 alg.exe 216 676 8 120 0 0 2010-08-11 06:06:39 UTC+0000

0xff364310 wscntfy.exe 888 1028 1 40 0 0 2010-08-11 06:06:49 UTC+0000

0xff38b5f8 TPAutoConnect.e 1084 1968 1 68 0 0 2010-08-11 06:06:52 UTC+0000

0x80f60da0 wuauclt.exe 1732 1028 7 189 0 0 2010-08-11 06:07:44 UTC+0000

0xff3865d0 explorer.exe 1724 1708 13 326 0 0 2010-08-11 06:09:29 UTC+0000

0xff3667e8 VMwareTray.exe 432 1724 1 60 0 0 2010-08-11 06:09:31 UTC+0000

0xff374980 VMwareUser.exe 452 1724 8 207 0 0 2010-08-11 06:09:32 UTC+0000

0x80f94588 wuauclt.exe 468 1028 4 142 0 0 2010-08-11 06:09:37 UTC+0000

0xff224020 cmd.exe 124 1668 0 -------- 0 0 2010-08-15 19:17:55 UTC+0000 2010-08-15 19

:17:56 UTC+0000

PS C:\volatility_2.4.win.standalone>

의심가는 프로세스

-> 약간씩 늦게 실행되고 뜨는 프로세스

-> 핸들이나 쓰레드가 많은 프로세스

-> 필수 프로세스와 같은 이름 -> svchost -> 기본 5개에서 늘고 줌

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem --profile=WinXPSP2x86 connscan

Volatility Foundation Volatility Framework 2.4

Offset(P) Local Address Remote Address Pid

---------- ------------------------- ------------------------- ---

0x02214988 172.16.176.143:1054 193.104.41.75:80 856

0x06015ab0 0.0.0.0:1056 193.104.41.75:80 856

PS C:\volatility_2.4.win.standalone>

www.geomaplookup.net -> 아이피 위치 대략적인 추적

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem --profile=WinXPSP2x86 malfind -p 856

Volatility Foundation Volatility Framework 2.4

Process: svchost.exe Pid: 856 Address: 0xb70000

Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE

Flags: CommitCharge: 38, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00b70000 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 MZ..............

0x00b70010 b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@.......

0x00b70020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0x00b70030 00 00 00 00 00 00 00 00 00 00 00 00 d0 00 00 00 ................

0xb70000 4d DEC EBP

0xb70001 5a POP EDX

0xb70002 90 NOP

0xb70003 0003 ADD [EBX], AL

0xb70005 0000 ADD [EAX], AL

0xb70007 000400 ADD [EAX+EAX], AL

0xb7000a 0000 ADD [EAX], AL

0xb7000c ff DB 0xff

0xb7000d ff00 INC DWORD [EAX]

0xb7000f 00b800000000 ADD [EAX+0x0], BH

0xb70015 0000 ADD [EAX], AL

0xb70017 004000 ADD [EAX+0x0], AL

0xb7001a 0000 ADD [EAX], AL

0xb7001c 0000 ADD [EAX], AL

0xb7001e 0000 ADD [EAX], AL

0xb70020 0000 ADD [EAX], AL

0xb70022 0000 ADD [EAX], AL

0xb70024 0000 ADD [EAX], AL

0xb70026 0000 ADD [EAX], AL

0xb70028 0000 ADD [EAX], AL

0xb7002a 0000 ADD [EAX], AL

0xb7002c 0000 ADD [EAX], AL

0xb7002e 0000 ADD [EAX], AL

0xb70030 0000 ADD [EAX], AL

0xb70032 0000 ADD [EAX], AL

0xb70034 0000 ADD [EAX], AL

0xb70036 0000 ADD [EAX], AL

0xb70038 0000 ADD [EAX], AL

0xb7003a 0000 ADD [EAX], AL

0xb7003c d000 ROL BYTE [EAX], 0x1

0xb7003e 0000 ADD [EAX], AL

Process: svchost.exe Pid: 856 Address: 0xcb0000

Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE

Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00cb0000 b8 35 00 00 00 e9 cd d7 c5 7b 00 00 00 00 00 00 .5.......{......

0x00cb0010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0x00cb0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0x00cb0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0xcb0000 b835000000 MOV EAX, 0x35

0xcb0005 e9cdd7c57b JMP 0x7c90d7d7

0xcb000a 0000 ADD [EAX], AL

0xcb000c 0000 ADD [EAX], AL

0xcb000e 0000 ADD [EAX], AL

0xcb0010 0000 ADD [EAX], AL

0xcb0012 0000 ADD [EAX], AL

0xcb0014 0000 ADD [EAX], AL

0xcb0016 0000 ADD [EAX], AL

0xcb0018 0000 ADD [EAX], AL

0xcb001a 0000 ADD [EAX], AL

0xcb001c 0000 ADD [EAX], AL

0xcb001e 0000 ADD [EAX], AL

0xcb0020 0000 ADD [EAX], AL

0xcb0022 0000 ADD [EAX], AL

0xcb0024 0000 ADD [EAX], AL

0xcb0026 0000 ADD [EAX], AL

0xcb0028 0000 ADD [EAX], AL

0xcb002a 0000 ADD [EAX], AL

0xcb002c 0000 ADD [EAX], AL

0xcb002e 0000 ADD [EAX], AL

0xcb0030 0000 ADD [EAX], AL

0xcb0032 0000 ADD [EAX], AL

0xcb0034 0000 ADD [EAX], AL

0xcb0036 0000 ADD [EAX], AL

0xcb0038 0000 ADD [EAX], AL

0xcb003a 0000 ADD [EAX], AL

0xcb003c 0000 ADD [EAX], AL

0xcb003e 0000 ADD [EAX], AL

PS C:\volatility_2.4.win.standalone>

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem --profile=WinXPSP2x86 malfind -p 856 processdump --dump-dir C:\volatility_2.4.win.standalone

Volatility Foundation Volatility Framework 2.4

Process: svchost.exe Pid: 856 Address: 0xb70000

Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE

Flags: CommitCharge: 38, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00b70000 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 MZ..............

0x00b70010 b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@.......

0x00b70020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0x00b70030 00 00 00 00 00 00 00 00 00 00 00 00 d0 00 00 00 ................

0xb70000 4d DEC EBP

0xb70001 5a POP EDX

0xb70002 90 NOP

0xb70003 0003 ADD [EBX], AL

0xb70005 0000 ADD [EAX], AL

0xb70007 000400 ADD [EAX+EAX], AL

0xb7000a 0000 ADD [EAX], AL

0xb7000c ff DB 0xff

0xb7000d ff00 INC DWORD [EAX]

0xb7000f 00b800000000 ADD [EAX+0x0], BH

0xb70015 0000 ADD [EAX], AL

0xb70017 004000 ADD [EAX+0x0], AL

0xb7001a 0000 ADD [EAX], AL

0xb7001c 0000 ADD [EAX], AL

0xb7001e 0000 ADD [EAX], AL

0xb70020 0000 ADD [EAX], AL

0xb70022 0000 ADD [EAX], AL

0xb70024 0000 ADD [EAX], AL

0xb70026 0000 ADD [EAX], AL

0xb70028 0000 ADD [EAX], AL

0xb7002a 0000 ADD [EAX], AL

0xb7002c 0000 ADD [EAX], AL

0xb7002e 0000 ADD [EAX], AL

0xb70030 0000 ADD [EAX], AL

0xb70032 0000 ADD [EAX], AL

0xb70034 0000 ADD [EAX], AL

0xb70036 0000 ADD [EAX], AL

0xb70038 0000 ADD [EAX], AL

0xb7003a 0000 ADD [EAX], AL

0xb7003c d000 ROL BYTE [EAX], 0x1

0xb7003e 0000 ADD [EAX], AL

Process: svchost.exe Pid: 856 Address: 0xcb0000

Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE

Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00cb0000 b8 35 00 00 00 e9 cd d7 c5 7b 00 00 00 00 00 00 .5.......{......

0x00cb0010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0x00cb0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0x00cb0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

0xcb0000 b835000000 MOV EAX, 0x35

0xcb0005 e9cdd7c57b JMP 0x7c90d7d7

0xcb000a 0000 ADD [EAX], AL

0xcb000c 0000 ADD [EAX], AL

0xcb000e 0000 ADD [EAX], AL

0xcb0010 0000 ADD [EAX], AL

0xcb0012 0000 ADD [EAX], AL

0xcb0014 0000 ADD [EAX], AL

0xcb0016 0000 ADD [EAX], AL

0xcb0018 0000 ADD [EAX], AL

0xcb001a 0000 ADD [EAX], AL

0xcb001c 0000 ADD [EAX], AL

0xcb001e 0000 ADD [EAX], AL

0xcb0020 0000 ADD [EAX], AL

0xcb0022 0000 ADD [EAX], AL

0xcb0024 0000 ADD [EAX], AL

0xcb0026 0000 ADD [EAX], AL

0xcb0028 0000 ADD [EAX], AL

0xcb002a 0000 ADD [EAX], AL

0xcb002c 0000 ADD [EAX], AL

0xcb002e 0000 ADD [EAX], AL

0xcb0030 0000 ADD [EAX], AL

0xcb0032 0000 ADD [EAX], AL

0xcb0034 0000 ADD [EAX], AL

0xcb0036 0000 ADD [EAX], AL

0xcb0038 0000 ADD [EAX], AL

0xcb003a 0000 ADD [EAX], AL

0xcb003c 0000 ADD [EAX], AL

0xcb003e 0000 ADD [EAX], AL

PS C:\volatility_2.4.win.standalone>

https://www.virustotal.com에서 생성된 dump파일 검사하여 악성코드 여부 확인

process.0x80ff88d8.0xb70000.dmp

-> 악성으로 탐지(첫번째dump)

process.0x80ff88d8.0xcb0000.dmp

-> 정상

-> 위의 방식으로 반복하여 프로세스의 악성코드 여부 확인

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem --profile=WinXPSP2x86 threads

...................

..................

겁나 많이 뜸

------

ETHREAD: 0xff1ff7f0 Pid: 1028 Tid: 1388

Tags:

Created: 2010-08-11 06:06:26 UTC+0000

Exited: 1970-01-01 00:00:00 UTC+0000

Owning Process: svchost.exe

Attached Process: svchost.exe

State: Waiting:WrLpcReceive

BasePriority: 0x8

Priority: 0x8

TEB: 0x7ffac000

StartAddress: 0x7c810856 kernel32.dll

ServiceTable: 0x80552180

[0] 0x80501030

[1] 0x00000000

[2] 0x00000000

[3] 0x00000000

Win32Thread: 0x00000000

CrossThreadFlags:

Eip: 0x7c90eb94

eax=0x00000102 ebx=0x00000000 ecx=0x00effe1c edx=0x7c90eb94 esi=0x000b1310 edi=0x0

eip=0x7c90eb94 esp=0x00effe1c ebp=0x00efff80 err=0x00000000

cs=0x1b ss=0x23 ds=0x23 es=0x23 gs=0x00 fs=0x3b efl=0x00000246

dr0=0x00000000 dr1=0x00000000 dr2=0x00000000 dr3=0x00000000 dr6=0x00000000 dr7=0x0

0x7c810856 33ed XOR EBP, EBP

0x7c810858 53 PUSH EBX

0x7c810859 50 PUSH EAX

0x7c81085a 6a00 PUSH 0x0

0x7c81085c e973acffff JMP 0x7c80b4d4

0x7c810861 90 NOP

0x7c810862 90 NOP

0x7c810863 90 NOP

0x7c810864 90 NOP

0x7c810865 90 NOP

0x7c810866 90 NOP

0x7c810867 33ed XOR EBP, EBP

0x7c810869 50 PUSH EAX

0x7c81086a 6a00 PUSH 0x0

0x7c81086c e9 DB 0xe9

0x7c81086d bb DB 0xbb

------

ETHREAD: 0xff3891d0 Pid: 1432 Tid: 1100

Tags:

Created: 2010-08-11 06:06:53 UTC+0000

Exited: 1970-01-01 00:00:00 UTC+0000

Owning Process: spoolsv.exe

Attached Process: spoolsv.exe

State: Waiting:WrLpcReceive

BasePriority: 0x8

Priority: 0x9

TEB: 0x7ffd9000

StartAddress: 0x7c810856 kernel32.dll

ServiceTable: 0x80552140

[0] 0x80501030

[1] 0xbf997600

[2] 0x00000000

[3] 0x00000000

Win32Thread: 0xe15ef558

CrossThreadFlags:

Eip: 0x7c90eb94

eax=0x00000002 ebx=0x00000000 ecx=0x00000410 edx=0x00000002 esi=0x0009ace8 edi=0x0

eip=0x7c90eb94 esp=0x00a1fe1c ebp=0x00a1ff80 err=0x00000000

cs=0x1b ss=0x23 ds=0x23 es=0x23 gs=0x00 fs=0x3b efl=0x00000246

dr0=0x00000000 dr1=0x00000000 dr2=0x00000000 dr3=0x00000000 dr6=0x00000000 dr7=0x0

0x7c810856 33ed XOR EBP, EBP

0x7c810858 53 PUSH EBX

0x7c810859 50 PUSH EAX

0x7c81085a 6a00 PUSH 0x0

0x7c81085c e973acffff JMP 0x7c80b4d4

0x7c810861 90 NOP

0x7c810862 90 NOP

0x7c810863 90 NOP

0x7c810864 90 NOP

0x7c810865 90 NOP

0x7c810866 90 NOP

0x7c810867 33ed XOR EBP, EBP

0x7c810869 50 PUSH EAX

0x7c81086a 6a00 PUSH 0x0

0x7c81086c e9 DB 0xe9

0x7c81086d bb DB 0xbb

------

ETHREAD: 0xff14ebf8 Pid: 1088 Tid: 1936

Tags:

Created: 2010-08-11 06:06:38 UTC+0000

Exited: 2010-08-11 06:06:39 UTC+0000

Owning Process: svchost.exe

Attached Process: svchost.exe

State: Terminated

BasePriority: 0x8

Priority: 0x10

TEB: 0x00000000

StartAddress: 0x7c810856 kernel32.dll

ServiceTable: 0x80552180

[0] 0x80501030

[1] 0x00000000

[2] 0x00000000

[3] 0x00000000

Win32Thread: 0x00000000

CrossThreadFlags: PS_CROSS_THREAD_FLAGS_TERMINATED

Eip: 0x7c90eb94

eax=0x00000036 ebx=0x00000000 ecx=0x72493537 edx=0x724a99c0 esi=0x000e45c0 edi=0x0

eip=0x7c90eb94 esp=0x01f3fe1c ebp=0x01f3ff80 err=0x00000000

cs=0x1b ss=0x23 ds=0x23 es=0x23 gs=0x00 fs=0x3b efl=0x00000246

dr0=0x00000000 dr1=0x00000000 dr2=0x00000000 dr3=0x00000000 dr6=0x00000000 dr7=0x0

0x7c810856 33ed XOR EBP, EBP

0x7c810858 53 PUSH EBX

0x7c810859 50 PUSH EAX

0x7c81085a 6a00 PUSH 0x0

0x7c81085c e973acffff JMP 0x7c80b4d4

0x7c810861 90 NOP

0x7c810862 90 NOP

0x7c810863 90 NOP

0x7c810864 90 NOP

0x7c810865 90 NOP

0x7c810866 90 NOP

0x7c810867 33ed XOR EBP, EBP

0x7c810869 50 PUSH EAX

0x7c81086a 6a00 PUSH 0x0

0x7c81086c e9 DB 0xe9

0x7c81086d bb DB 0xbb

------

ETHREAD: 0xff39ada8 Pid: 1028 Tid: 340

Tags:

Created: 2010-08-11 06:08:00 UTC+0000

Exited: 1970-01-01 00:00:00 UTC+0000

Owning Process: svchost.exe

Attached Process: svchost.exe

State: Waiting:WrQueue

BasePriority: 0x8

Priority: 0x9

TEB: 0x7ff6b000

StartAddress: 0x7c810856 kernel32.dll

ServiceTable: 0x80552180

[0] 0x80501030

[1] 0x00000000

[2] 0x00000000

[3] 0x00000000

Win32Thread: 0x00000000

CrossThreadFlags:

Eip: 0x7c90eb94

eax=0x57d29bc0 ebx=0x00000000 ecx=0x01000068 edx=0x000c2608 esi=0x0287f37c edi=0x7

eip=0x7c90eb94 esp=0x034bff28 ebp=0x034bff54 err=0x00000000

cs=0x1b ss=0x23 ds=0x23 es=0x23 gs=0x00 fs=0x3b efl=0x00000246

dr0=0x00000000 dr1=0x00000000 dr2=0x00000000 dr3=0x00000000 dr6=0x00000000 dr7=0x0

0x7c810856 33ed XOR EBP, EBP

0x7c810858 53 PUSH EBX

0x7c810859 50 PUSH EAX

0x7c81085a 6a00 PUSH 0x0

0x7c81085c e973acffff JMP 0x7c80b4d4

0x7c810861 90 NOP

0x7c810862 90 NOP

0x7c810863 90 NOP

0x7c810864 90 NOP

0x7c810865 90 NOP

0x7c810866 90 NOP

0x7c810867 33ed XOR EBP, EBP

0x7c810869 50 PUSH EAX

0x7c81086a 6a00 PUSH 0x0

0x7c81086c e9 DB 0xe9

0x7c81086d bb DB 0xbb

------

ETHREAD: 0xff2167f8 Pid: 936 Tid: 940

Tags:

Created: 2010-08-11 06:06:24 UTC+0000

Exited: 1970-01-01 00:00:00 UTC+0000

Owning Process: svchost.exe

Attached Process: svchost.exe

State: Waiting:Executive

BasePriority: 0x8

Priority: 0x8

TEB: 0x7ffde000

StartAddress: 0x7c810867 kernel32.dll

ServiceTable: 0x80552140

[0] 0x80501030

[1] 0xbf997600

[2] 0x00000000

[3] 0x00000000

Win32Thread: 0xe1a31a58

CrossThreadFlags:

0x7c810867 33ed XOR EBP, EBP

0x7c810869 50 PUSH EAX

0x7c81086a 6a00 PUSH 0x0

0x7c81086c e9bb640000 JMP 0x7c816d2c

0x7c810871 90 NOP

0x7c810872 8bff MOV EDI, EDI

0x7c810874 90 NOP

0x7c810875 90 NOP

0x7c810876 90 NOP

0x7c810877 90 NOP

0x7c810878 90 NOP

0x7c810879 64 DB 0x64

0x7c81087a 8b DB 0x8b

0x7c81087b 15 DB 0x15

0x7c81087c 1800 SBB [EAX], AL

0x7c81087e 00 DB 0x0

------

ETHREAD: 0xff11fb30 Pid: 1968 Tid: 868

Tags:

Created: 2010-08-11 06:06:40 UTC+0000

Exited: 1970-01-01 00:00:00 UTC+0000

Owning Process: TPAutoConnSvc.e

Attached Process: TPAutoConnSvc.e

State: Waiting:UserRequest

BasePriority: 0x8

Priority: 0x8

TEB: 0x7ffdc000

StartAddress: 0x7c810856 kernel32.dll

ServiceTable: 0x80552180

[0] 0x80501030

[1] 0x00000000

[2] 0x00000000

[3] 0x00000000

Win32Thread: 0x00000000

CrossThreadFlags:

0x7c810856 33ed XOR EBP, EBP

0x7c810858 53 PUSH EBX

0x7c810859 50 PUSH EAX

0x7c81085a 6a00 PUSH 0x0

0x7c81085c e973acffff JMP 0x7c80b4d4

0x7c810861 90 NOP

0x7c810862 90 NOP

0x7c810863 90 NOP

0x7c810864 90 NOP

0x7c810865 90 NOP

0x7c810866 90 NOP

0x7c810867 33ed XOR EBP, EBP

0x7c810869 50 PUSH EAX

0x7c81086a 6a00 PUSH 0x0

0x7c81086c e9 DB 0xe9

0x7c81086d bb DB 0xbb

PS C:\volatility_2.4.win.standalone>

-> 커널 스레드의 값을 보여줌

PS C:\volatility_2.4.win.standalone> .\vol.exe -f .\infetced.vmem --profile=WinXPSP2x86 hivelist

Volatility Foundation Volatility Framework 2.4

Virtual Physical Name

---------- ---------- ----

0xe1c49008 0x036dc008 \Device\HarddiskVolume1\Documents and Settings\LocalService\Local Settings\Application Data\Micros

oft\Windows\UsrClass.dat

0xe1c41b60 0x04010b60 \Device\HarddiskVolume1\Documents and Settings\LocalService\NTUSER.DAT

0xe1a39638 0x021eb638 \Device\HarddiskVolume1\Documents and Settings\NetworkService\Local Settings\Application Data\Micr

osoft\Windows\UsrClass.dat

0xe1a33008 0x01f98008 \Device\HarddiskVolume1\Documents and Settings\NetworkService\NTUSER.DAT

0xe153ab60 0x06b7db60 \Device\HarddiskVolume1\WINDOWS\system32\config\software

0xe1542008 0x06c48008 \Device\HarddiskVolume1\WINDOWS\system32\config\default

0xe1537b60 0x06ae4b60 \SystemRoot\System32\Config\SECURITY

0xe1544008 0x06c4b008 \Device\HarddiskVolume1\WINDOWS\system32\config\SAM

0xe13ae580 0x01bbd580 [no name]

0xe101b008 0x01867008 \Device\HarddiskVolume1\WINDOWS\system32\config\system

0xe1008978 0x01824978 [no name]

0xe1e158c0 0x009728c0 \Device\HarddiskVolume1\Documents and Settings\Administrator\Local Settings\Application Data\Micro

soft\Windows\UsrClass.dat

0xe1da4008 0x00f6e008 \Device\HarddiskVolume1\Documents and Settings\Administrator\NTUSER.DAT

PS C:\volatility_2.4.win.standalone>

-> 레지스트리 하이브키 확인

The Art of Memory Forensics

This book is written by 4 of the core Volatility developers - Michael Ligh (@iMHLv2), Andrew Case (@attrc), Jamie Levy (@gleeda) and AAron Walters (@4tphi). We've been collaborating for well over 6 years to design the most advanced memory analysis framework and we're excited to be collaborating on a book.