'네트워크 패킷 분석' 카테고리의 글 목록

본문 바로가기

ExpandEnvironmentStrings API 로 윈도우 경로 받기 ExpandEnvironmentStrings API 로 윈도우 경로 받기 Parameter Output String %USERPROFILE% C:\Users\유저 %LOCALAPPDATA% C:\Users\유저\AppData\Local %APPDATA% C:\Users\유저\AppData\Roaming %TEMP% C:\Users\유저\AppData\Local\Temp %TMP% C:\Users\유저\AppData\Local\Temp %PUBLIC% C:\Users\Public %ALLUSERSPROFILE% C:\Users\ProgramData %ProgramData% C:\Users\ProgramData %ProgramFiles% C:\Users\Program Files %CommomProgramFi..

Trojan:Win32/Kovter Trojan:Win32/Kovter Kovter는 감염 후 file-less 방식으로 동작하도록 설계된 멀웨어. 트로젠이라 스스로 감염 시킬 수 없으므로 click fraud를 유도함. 트로젠은 스스로 퍼질 수 없는 멀웨어를 말함. 사용자의 실수에 의존함(악성 웹사이트에 방문한다던지.. )감염 후 정보 탈취, 다른 악성코드 다운, pc 접근권을 준다던지 등의 각종 악성행위를 수행함. microsoft security blog를 참조해 정리하자. 1. 랜덤한 확장자 등록 (백신 탐지를 어렵게 하기 위해)랜덤한 확장자를 레지스트리에 등록하고, 해당 확장자 파일을 open 시 확장자\shell\open\command 에 등록된 명령이 실행된다. 내용은 클린 파일인 mshta을 이용하여 자바스크립트를 실행시키는..

ADODB.STREAM object ADODB.STREAM object The ADODB.Stream object was used to read files and other streams. What it does is part of what the StreamReader, StreamWriter, FileStream and Stream does in the .NET framework.For what the code in that method uses it for, in .NET you would use a StreamReader to read from a Stream.문자를 읽을 때 byte 단위로 사용하므로 non-Unicode data를 포함하는 stream에서 제대로 동작함.

SSL.handshake.type (메세지 타입) SSL.handshake 과정의 message type 종류 정리 Hello Reqeust 0 (0x00) Client Request 1 (0x01) Server Hello 2 (0x02) Certificate 11 (0x0B) Server Key Exchange 12 (0x0C) Certificate Request 13 (0x0D) Server Hello Done 14 (0x0E) Certificte Verify 15 (0x0F) Client Key Exchange 16 (0x10) Finished 20 (0x14) 와이어샤크 필터링 시, http.request || ssl.handshake.type==1를 하면 http요청과 Client Hello만 뽑아서 볼 수 있다. 아주 좋아용~~

이전 1 다음

티스토리툴바