목록2018/05/25 (3)
Free my mind
Registry Analysis - 온라인(On-line) 레지스트리 분석 - Regedit(regedit.exe), Regedt32(regedt32.exe) - 오프라인(Off-line) 레지스트리 분석 비활성시스템(복제 이미지)에서의 레지스트리 분석 Registry Hive File의 수집 필요 Registry를 통해 알 수 있는 정보 - 컴퓨터 정보 - 최근에 열었거나, 실행, 수정한 문서에 대한 사용 흔적 - 서버의 경우 불법계정생성 유무 확인 - 특정 프로그램 설치 및 삭제 흔적 - 악성 프로그램 감염 여부 Registry의 구성 HKEY = Windows Handles to Key 루트키들은 하이브(hive)라 불리는 작은 레지스트리 데이터 구조체들의 집합 or 그 서..
pcap에 대해서 공부하면서 알게된 것들을 적겠다. 우선 #include 를 이용해서 헤더를 추가한다. 디바이스이름을 얻어오기 위해서 pcap_lookupdev를 한다. dev에 디바이스 이름이 저장된다. 포인터로 선언되는 변수는 가변적인 길이를 가질 수 있다. ebuf에는 오류값이 저장된다. 디바이스에 대한 ip 정보와 mask 정보를 갖고올때는 lookupnet함수를 이용한다. 함수의 매개변수에 &문자를 쓰는것은 원본값의 주소를 보낸다는 뜻인데, main 밖에 있는 함수가 주소에 접근해서, main에서 선언된 변수에 직접 접근하여 변경할수 있다. 그렇기 때문에, netp의 값이 리턴값을 받지 않고도 값이 직접 바뀐다.(초급문법) lookupnet 반환값이 res에 저장되는데, 0 이면 정상적으로 함수..
qt libpcap programing을 위해서 pcap라이브러리를 설치한다. apt-get install libpcap-dev (관리자로 부팅하는 설정을 했기때문에 sudo를 사용할 필요가 없다.) Non-Qt Project Plain C++ Application을 선택한다. 그리고 많이 헤맸는데, pcap 프로그래밍을 하기 위해서는 #include 를 하기위해서는 pro 파일에서 LIBS += -lpcap을 꼭 넣어준다. 이제 pcap 프로그래밍을 위한 준비작업이 끝났다.