근데 팀미션으로 이미 박석군에 대해 이글루스를 통해 한번 올린적이 있으니…(자세한건 http://vsstar.egloos.com 참조)

(보안블로그 메인에 떡하니;;)

보안 관련 직종에 계신분들이 주로 찾는 저의 블로그입니다. 어제 포스팅해서 아직 많은 사람들이 보진 못했지만..평균 하루에 30여명정도 방문을 하니 적어도 30명은 이 포스팅을 보지 않을까 싶네요. :)

(이러다가 보안 블로그에서 다음홍보블로그로 바뀌는거아닐지;;)

학교에서도 넷북을 받다보니 주위 친구들이 이거 어디서 받았냐고 자주 물어보더군요. :) 그 때도 중간중간에 다음가서 라이프채인저 한번 보라고..거기 우리학교로 추정되는 애가 주인공으로 나와서 헤어진 여자친구 찾고 있다고 말했었죠..xD

추가적으로 S모사의 미니홈피에도 올렸어요 ㅋㅋ

(얘좀 살려주자 ㅇㅇ?)

뭐 이래도 가능할진 모르겠지만- 혹여나 잘 안되더라도 자신에게 좀더 성숙할 수 있는 기회가 되었으면 좋겠네요 :)

<박석에게 추신>

횽이 이렇게 해주는데 석이는 자신감을 가지고 진행했으면 좋겠다. 횽이 제시한 코디나 헤어같은것도 잘 찾아서 꾸며보고..물론 외향적인 것만 해선 안되겠지-! :) 화이팅-!

다음에 대해 안좋은 기억을 가지고 계신분들은 한번 써보심도 좋을 듯 합니다. (물론 저도 안좋은 기억을-_-;)

써보면서 느낀건데..카페나 블로그 검색은 확실히 더 뛰어난 거 같네요.(기업의 이윤창출보다는 검색의 기본에 좀더 충실하다는!)

여튼 아래부터 본문 시작됩니다.!

첫 번째 미션을 수행하기 위해 내가 할 것은 바로 석이의 코디!!(저도 잘 못하지만..사실 제가 알아볼까하는 김에 같이 알아봤어요.) 코디를 하기 전에 우선 석이의 상황을 한번 봐야겠죠?

동영상을 보면 알겠지만, 마른 체형에 소심하고, 작은 눈을 가지고 있습니당. 그리고 하다보니 알게 된 것인데. K대라 하여 설마 했는데 우리 학교이더라구요 xD

(우리 나중에 만나서 밥이나 한끼 하자꾸나.)

여튼 이 석이의 이미지 변신을 위해 블로그를 통해 정보를 얻어볼까요?

우선 제가 생각하기에 석이에게 필요한 외형적인 모습의 변화는 아래와 같아요.

1. 코디
2. 헤어
3. 살찌우기

우리 팀에서 내가 맞은 것은 석이의 코디이고, 많은 다음의 정보 중 블로그를 통한 정보 수집이기 때문에, 다음 블로그 검색을 실시 해봤습니다. :)

우선 체형이 마른 체형이기 때문에 “마른 남자 코디”라는 키워드로 검색을 해보았어요.

음..수 많은 내용이 나오는 군요... 저도 그렇지만 마른 사람들도 뚱뚱한 사람들 못지 않게 코디에 신경이 많이 쓰이더라구요..

특히나 석이 정도라면…옷 소화하기가 참 힘들죠.. 잘못하면 옷걸이처럼 보일 수도 있고요..xD

검색하면서 느낀거지만, 우측에 “대상별 검색”이나 “기간별 검색” 기능은 참 많에 들더군요. 연관 추천 블로그도 그렇고요.

우선 접근한 곳은 “니뽄스타일 스트릿잭” 블로그 였습니다.

(“니뽄스타일 스트릿잭(http://blog.daum.net/street-jack/)” – 스타일리쉬한 블러그라고 하네요.. :) )

음..이런 다른 이야기지만..지금 다음 블로그를 검색하면서 느낀 점인데요..확실히 타 블로그보다 디자인면에서 부족한 부분이 많이 보이는거 같습니다. 

사용자가 사용하면서 가장 중요한 부분은 어쩌면 게시글인데..지금 다음 블로그의 구조는 사용자의 시야를 분산시키는 느낌이 강해서 말이죠..;; 

이런 부분은 외국의 여러 블로그 디자인을 통해 보완했으면 좋겠네요..아니면 같은 다음의 서비스인 tistory 의 디자인을 이용해도 좋을 것 같고 말이죠 :)

석이도 이런식으로 블로그에서 검색하면 요즘같이 가을같은 겨울에도 적절한 코디를 할 수 있을 것이라는 생각이 드는군요-!

두 번째로 살찌우기를 검색 했는데요. 우리 팀원이 올린 살찌우기가 같이 나왔네요 하하 :)

(중간에 보이는 alacarin.tistory.com xD )

저보다 빨리 올리시다니..(저녁 약속 때문에 ㅠ)

그리고보니 다음은 진정한 검색엔진의 모토에 맞게 타사의 블로그인 싸이월드, 네이버 블로그까지 검색해주네요..확실히 블로그 검색 부분은 타사보다 다양한 사이트를 Collect하는 거 같네요 :)

여튼 블로그에서 이것저것을 보다가 석이한테 맞을 만한 블로그를 하나 발견하였어요-!!! 근육닷컴이라는 네이버 블로그 인데요..

(근육닷컴: http://blog.naver.com/geun6com/80090364801)

뭐 결국은 했던얘기 또하고 그러는 거긴 하지만.. 그래도 이런 기본적인 것을 충실히 하면 건강하게 살찌우는데 큰 도움이 될꺼라는 생각이 드네요.. :) 다음의 블로그 검색은 다음블로그 뿐만 아니라 타사의 블로그까지 검색이 가능하니..블로그를 통한 정보 수집시에는 다음껄 써야겠네요 :)

그리고 마지막으로 헤어!! 석이는 이미가 넓고 턱이 좁은 약간은 역삼각형의 두상을 가지고 있는 것 같아요.(이 부분도 살찌우면 괜찮을 거 같긴 한데...) 우선은 "이마 넓은 헤어 스타일" 이라고 검색해서 봤는데......

("이마 넓은 헤어 스타일" 검색결과)

흐미...광고가 너무 많다...이런 컨텐츠들을 함부로 지울 순 없지만..어느정도 제한을 두어야 할거 같긴 하네요..왠지 모르게 눈살이 찌뿌려지는..(뭐 다 먹고 살자고 하는 것이긴 하지만요;;)

그리고 거의 대부분이 여성 헤어스타일이라 검색 키워드에 남자로 추가하여 재 검색 해봤고 첫번째에 괜찮은 블로그 게시물을 찾을 수 있었죠-! :)

(http://blog.daum.net/milladiary/744?srchid=BR1http://blog.daum.net/milladiary/744)

위의 말 잘 참조해서 헤어 스타일을 표현할 필요가 있을 것 같네요. 석이 UCC Day-15에서 댓글볼 때도 앞머리로 이마를 약간 가려주는게 더 좋을 것 같다고 했었는데.. 역시나 추천 헤어스타일도 앞머리를 내리고 구렛나루를 유지하라고 하는군요.-

앞의 세가지 요소 전부 한번에 바꾸기는 힘들지만..하나하나 인터넷 검색으로 정보를 수집하여 자신을 가꾼다면, 민정양에게 다가갈 수 있는 하나의 요소를 충족시킬 것이라고 생각해요 :) 특히나 다음의 경우에도 타사의 검색처럼 자사의 컨텐츠 보이기에만 급급할 줄 알았는데, 그게 아닌 것이 정말 맘에 드는군요-!

• Security
• default
• SAM
• Software
• System
• NTUSER.DAT

문제는 수집 시 서버의 정보를 노출하기 꺼려하는 기업들은 조사관이 원하는 계정의 레지스트리 정보만(NTUSER.DAT)을 건네준다. 이 상황에서 사용자의 그룹정보를 확인하려면 어떻게해야할까?

연구실의 레지스트리 분석도구(RegAn)을 통해 NTUSER.DAT를 올려서 확인하였다.

위치: “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership”

아 래는 저 SID 중 잘 알려진 SID에 대한 정보이다.

SID란?

A security identifier (SID) is a unique value of variable length that is used to identify a security principal or security group in Windows operating systems. Well-known SIDs are a group of SIDs that identify generic users or generic groups. Their values remain constant across all operating systems.
This information is useful for troubleshooting issues involving security. It is also useful for potential display problems that may be seen in the ACL editor. A SID may be displayed in the ACL editor instead of the user or group name.

Well-known Security identifier

쉽게 볼려면 콘솔(Console)에서 “gpresult”명령으로도 확인할 수 있다.

매칭 결과

정말 기능이 막강해서 요즘엔 다른 hexa editor다 지우고 이것만 쓰고 있다. :)

디자인만 보면 별반 다를 것이 없지만, 두 파일의 바이너리/바이트 비교 기능, 다항연산기능이 있느 공학용 계산기, 히스토그램( ex)바이트 빈도 수), 체크섬 계산, 그리고 템플릿과 스크립트가 있다.

이 도구의 가장 큰 강점은 템플릿 기능과 스크립트 기능이다. 템플릿을 정의해놓으면, 해당 템플릿에 맞춰서 올린 코드를 재해석해서 결과를 보여주는 훌륭한 기능!

이벤트로그, PE파일, 아이콘파일, MP3파일 등 다양한 템플릿을 제작사에서 기본적으로 제공하며, 필요하다면 만들어 사용할 수도 있다는 것 :)

템플릿 또한 C언어와 매우 유사한 형식을 가지고 있기 때문에 개발을 해본 사람이라면 쉽게 작성할 수 있다.

템플릿을 동작시키면 위와 같이 분석결과를 하부 탭에 보여준다. 물론 클릭 시 하일라이팅 기능도 제공! xD

스크립트 기능은 말 그대로 사용자가 수행하는 수작업을 자동화 시켜주는 기능으로 이 기능도 분석할 떄 유용하게 사용될 것 같다.

010 Editor는 비록 유료이지만 처음 들어보는 사람이라면 Trial버전이라도 한번쯤 써봐도 좋은 도구라고 생각한다.

필자의 경우에도 Python으로 열심히 짜놓은 파서가 받는 인풋 값중 하나가 Python에서 지원하지 않는 FILETIME형태를 만난 적이 있다.

물론 변환 코드를 직접 작성하는 방법도 있지만, 이왕이면 MS에서 제공하는 안전한 함수를 사용하는 것이 좋다.

이에 kernel32.dll을 직접 로드해서 API를 사용하는 방법을 통해 문제를 해결하였다.

이 방법은 Visual C++에서 Windows API의 GetProcAddress()함수를 통해 Undocumented Function을 사용하는 것과 비슷한 방법이다.

필자가 작성한 FILETIME to SYSTEMTIME은 아래와 같다.

  1: from ctypes import windll, Structure, byref, GetLastError, WinError, c_ulong, c_ushort

  2: 

  3: //load to kernel32.dll

  4: kernel32 = windll.kernel32

  5: 

  6: // type define

  7: WORD = c_ushort

  8: DWORD = c_ulong

  9: 

 10: // 구조체를 정의 

 11: class FILETIME(Structure):

 12:     _fields_ = [("dwLowDateTime", DWORD),

 13:                 ("dwHighDateTime", DWORD)]

 14: 

 15: class SYSTEMTIME(Structure):

 16:     _fields_ = [("wYear", WORD),

 17:                 ("wMonth", WORD),

 18:                 ("wDayofWeek", WORD),

 19:                 ("wDay", WORD),

 20:                 ("wHour", WORD),

 21:                 ("wMinute", WORD),

 22:                 ("wSecond", WORD),

 23:                 ("wMilliseconds", WORD)

 24:                 ]

 25: 

 26: def FILETIME_Parser():

 27:   filetime = FILETIME() // FILETIME구조체 생성

 28:   filetime.dwHighDateTime = int(time_string.split(',')[1]) // ,를 구분자

 29:   filetime.dwLowDateTime = int(time_string.split(',')[1])                               

 30:   systemtime = SYSTEMTIME()

 31:   kernel32.FileTimeToSystemTime(byref(filetime), byref(systemtime))

 32:   result_time = "%d-%d-%d %d:%d:%d"%(systemtime.wYear, systemtime.wMonth,\

 33:   systemtime.wDay, systemtime.wHour, systemtime.wMinute, systemtime.wSecond)

 34:   return result_time

31행을 보면, kernel32.dll 내부의 FileTImeToSystemTime API를 사용한 것을 확인할 수 있다.

python은 본래 call by value를 기본으로 동작되기 때문에 ctype클래스의 method인 byref를 활용하여 FILETIME, SYSTEMTIME구조체의 주소값을 넘겨주었다.

이 방법을 통하여 다른 dll의 함수도 python에서 쉽게 사용할 수 있다. :)

이제 이 도구를 이용해서 포스팅 해야겠습니다.  참 맘에 드는군요/.

In computing, promiscuous mode or promisc mode is a configuration of a network card that makes the card pass all traffic it receives to the central processing unit rather than just frames addressed to it — a feature normally used for packet sniffing.

gdb늅인 저에게 gdb 더 고급 테크닉이 있으면 알려주시면 감사하겠습니다. :)

gdb sample

화면 캡처: 2009-07-23, AM 12:30

breakpoint걸고 run!

bp 시 b if var == ? 와 같은 형식으로 조건식 브레이크가 가능하다.

화면 캡처: 2009-07-23, AM 12:32

걸린 부분에 대한 코드 확인 및 레지스터 확인.

화면 캡처: 2009-07-23, AM 12:32

전역변수 및 지역변수 값 확인

화면 캡처: 2009-07-23, AM 12:33

p명령어를 이용할 시 포인터나 레지스터의 값을 확인할 수 있다.

또한 x/[범위][출력형식][단위] 를 통해 해당 메모리영역의 값을 볼 수도 있다.

출력형식을 i로 하는 경우 어셈블리어, s인 경우 문자열로 볼 수 있다.

화면 캡처: 2009-07-23, AM 12:50

만약 @N을 붙인다면 여러구조체의 정보를 한번에 볼 수 있다.

화면 캡처: 2009-07-23, AM 12:34

watch명령은 하나의 변수 값이 바뀔 때마 해당 값을 출력해준다.

s(step), n(next), u(until), finish, return, c(continue)도 있음.

해당 코드의 문제점을 스택백트레이스를 통해 알아보자. 세그멘테이션 폴트가 발생할 시 발생 프레임에 대한 정보를 통한 분석이다.

화면 캡처: 2009-07-23, AM 12:46

계속 따라가다 보면...

화면 캡처: 2009-07-23, AM 12:46

위와 같이 137의 표준 C함수인 printf문이 나오게 되고, 그 아래 사용자가 생성한 main함수가 위치하게 된다. 사용자 생성 함수인 main함수에 대한 stack frame를 설정하고 변수들을 확인해보면,

화면 캡처: 2009-07-23, AM 12:47

위 그림과 같이 i값이 5가 되면서 오버플로우가 발생하는 것을 확인할 수 있다.

마지막으로 set명령어를 이용하면 해당 메모리나 변수에 값을 재설정할 수 있다.