vencedor

커널 드라이버 서비스 상태 확인

  - sc query

  - sc queryex

참고 : http://www.makeuseof.com/tag/control-running-services-sr-command-windows/

SysWOW64란?

%SystemRoot%\SysWOW64 디렉토리는 %SystemRoot%\system32 디렉토리가 리다이렉트된 디렉토리이며
64비트에서 32비트 시스템 프로그램이 %SystemRoot%\system32 디렉토리에서 읽고 쓰는 내용은 모두 %SystemRoot%\SysWOW64로 리다이렉트된다.

System32 디렉토리에서는 64비트 프로그램이 저장돼있는 반면, 32비트 프로그램은 SysWOW64  디렉토리에 존재한다.

WoW64 환경에서 32비트 프로그램이 HKLM\Software에 읽고 쓰는 데이터는 HKLM\SOFTWARE\Wow6432Node로 리다이렉트되며
64비트 시스템에서 32비트 악성코드가 HKLM\Software에 읽고 쓰는 흔적은 HKLM\SOFTWARE\Wow6432Node에 존재한다.
만약, 32비트 악성코드가 레지스트리 Run 항목에 자동실행을 등록한다면 해당 흔적은 아래와 같은 위치에 존재한다.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

64비트 환경에서 실행된 32비트 악성코드의 흔적은 %SystemRoot%\SysWOW64 하위에서 찾는다.
32비트 프로그램에서 시스템 권한을 사용하는 데이터 흔적은 "%SystemRoot%\system32\config\systemprofile"가 아닌 "%SystemRoot%\SysWOW64\config\systemprofile"에서 찾아야 된다.

windbg(유져모드 어플리케이션, 드라이버 및 커널모드에서 자체 운영체제 디버깅)

심볼파일 설정
필요파일 : 덤프파일(.dmp)과 관련프로그램(file) 그리고 해당 소스파일(Project)

File>Symbols File Path : 크래시가 난 해당 심볼 위치 경로 설정
 - Symbol 다운로드 : http://msdl.microsoft.com/downloads/symbol
File>Source File Path : 크래시가 난 해당 소스파일 위치 경로 설정
File>Image Fail Path : 크래시가 난 해당 프로그램 위치 경로 설정

!sym -nolsy
 - 덤프 디테일 커맨드 로그 출력
 - 심볼 로딩에서 상세 로그 출력
 - nolsy mode on 설정이 되면 상세 로그 출력 설정이 완료 (mls match 로그 출력)

!analyze -v : 덤프 분석 (서버 파일과 덤프 매핑)

.excr : 크래시 덤프로 남겨진 문제점이 발생한 해당 소스를 호출

.reload : 심볼 즉시 로드

lm : 로딩된 모듈 리스트 확인, v : 모듈 상세정보 표시

kn : 콜스택 확인

ctrl+break : 브레이크

g : 브레이크 히제

q : 디버깅 종료, qd : 디버깅 종료 및 연결해제

r : 레지스터 정보 표시

r $proc : 현재 프로세스의 PED주소(user-mode), 현재 프로세스의 EPROcESS주소(kernel-mode)

r $thread : 현재 스레드의 TEB주소(user-mode), 현재 스레드의 ETHREAD주소(kernel-mode)

r $tpid : PID(프로세스 ID)

r $tid : TIP(스레드 ID)

k 콜스택 정보표시

bp : bp설정

bl : bp 리스트 출력

bc : bp 삭제

bd, be : bp disable/enable

eb : 6byte를 NOP(0x90)으로 변경

*winmerge(winmerge.org) : 파일비교

WebDAV에서 사용하는 메소드
Head/Trace : 네트워크 행동을 찾고 추적하는 기능
Get : 문서 검색
Put/Post : 문서를 서버에 전달
Delete : 리소스나 컬렉션을 삭제
Mkcol : 컬렉션을 만듦
PropFind/PropPatch : 리소스와 컬렉션의 속성을 검색하고 설정
Copy/Move : 이름 공간 문맥 내에 있는 컬렉션과 리소스를 관리
Lock/Unlock : 덮어 쓰기 방지 기능
Options : 서버가 지원하는 메소드를 출력

참고 : https://www.linux.co.kr/security/webdav_vulnerablity_analysis.pdf

보안 이벤트 넘버

%%2305 The specified user account has expired. (532)
%%2309 The specified account's password has expired. (535)
%%2310 Account currently disabled. (531)
%%2311 Account logon time restriction violation. (530)
%%2312 User not allowed to logon at this computer. (533)
%%2313 Unknown user name or bad password. (529)

====================================================

IIS 로그 파서

MSSQL 형식으로 로그 분석

https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 
최근 생성된 시간을 기준으로 찾기

logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1
최근 수정된 파일 찾기

logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1  
악성 파일을 삭제할 경우 200 OK 로그 찾기

logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attribute NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 
Script Abuse 분석(exe, dll 등의 파일 찾기)

logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
500 에러코드 검사

logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 
가장 많은 리퀘스트 히트 찾기

logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Errors FROM ex03*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Errors>25 ORDER BY Error DESC" -rtp:-1 
시간당 에러수가 가장 많이 발생한 날짜 확인

logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 
하루동안 50번이상 동일 페이지에 접속을 시도한 Client IP 찾기

logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 
모든 에러 기록 확인

logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 
스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인

logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
Win32 Status Code 분석을 통한 Attack 확인

logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1  
HTTP 메소드 통계 분석

START CMD

ex)

dir /ah

attrib test.exe -s -h -r (속성해제)
del test.exe /f (삭제) 

ASSOC          파일 확장명 연결을 보여주거나 수정
ATTRIB         파일 속성을 표시하거나 변경
BREAK          확장된 CTRL+C 검사를 설정하거나 삭제
BCDEDIT        부팅 로딩을 제어하기 위해 부팅 데이터베이스에서 속성을 설정
CACLS          파일의 액세스 컨트롤 목록(ACL)을 표시하거나 수정
CALL           한 일괄 프로그램에서 다른 일괄 프로그램을 호출
CD             현재 디렉터리 이름을 보여주거나 변경
CHCP           활성화된 코드 페이지의 번호를 표시하거나 설정
CHDIR          현재 디렉터리 이름을 보여주거나 변경
CHKDSK         디스크를 검사하고 상태 보고서를 표시
CHKNTFS        부팅하는 동안 디스크 확인을 화면에 표시하거나 변경
CLS            화면을 지운다.
CMD            Windows 명령 인터프리터의 새 인스턴스를 시작
COLOR          콘솔의 기본색과 배경색을 설정
COMP           두 개 또는 여러 개의 파일을 비교
COMPACT        NTFS 분할 영역에 있는 파일의 압축을 표시하거나 변경
CONVERT        FAT 볼륨을 NTFS로 변환합니다. 현재 드라이브는 변환
COPY           하나 이상의 파일을 다른 위치로 복사
DATE           날짜를 보여주거나 설정
DEL            하나 이상의 파일을 지운다.
DIR            디렉터리에 있는 파일과 하위 디렉터리 목록을 보여준다.
DISKPART       디스크 파티션 속성을 표시하거나 구성
DOSKEY         명령줄을 편집하고, Windows 명령을 다시 호출하고, 매크로를 만든다.
DRIVERQUERY    현재 장치 드라이버 상태와 속성을 표시
ECHO           메시지를 표시하거나 ECHO를 켜거나 끈다.
ENDLOCAL       배치 파일에서 환경 변경의 지역화를 끝낸다.
ERASE          하나 이상의 파일을 지운다.
EXIT           CMD.EXE 프로그램(명령 인터프리터)을 종료
FC             두 파일 또는 파일 집합을 비교하여 다른 점을 표시
FIND           파일에서 텍스트 문자열을 검색
FINDSTR        파일에서 문자열을 검색
FOR            파일 집합의 각 파일에 대해 지정된 명령을 실행
FORMAT         Windows에서 사용할 디스크를 포맷
FSUTIL         파일 시스템 속성을 표시하거나 구성
FTYPE          파일 확장명 연결에 사용되는 파일 형식을 표시하거나 수정
GOTO           Windows 명령 인터프리터가 일괄 프로그램에서 이름표가 붙여진 줄로 이동
GPRESULT       컴퓨터 또는 사용자에 대한 그룹 정책 정보를 표시
GRAFTABL       Windows가 그래픽 모드에서 확장 문자 세트를 표시
HELP           Windows 명령에 대한 도움말 정보를 제공
ICACLS         파일과 디렉터리에 대한 ACL을 표시, 수정, 백업 또는 복원
IF             일괄 프로그램에서 조건 처리를 수행
LABEL          디스크의 볼륨 이름을 만들거나, 바꾸거나, 지운다.
MD             디렉터리를 생성
MKDIR          디렉터리를 생성
MKLINK         바로 가기 링크와 하드 링크를 생성
MODE           시스템 장치를 구성
MORE           출력을 한번에 한 화면씩 표시
MOVE           하나 이상의 파일을 한 디렉터리에서 다른 디렉터리로 이동
OPENFILES      파일 공유에서 원격 사용자에 의해 열린 파일을 표시
PATH           실행 파일의 찾기 경로를 표시하거나 설정
PAUSE          배치 파일의 처리를 일시 중단하고 메시지를 표시
POPD           PUSHD에 의해 저장된 현재 디렉터리의 이전 값을 복원
PRINT          텍스트 파일을 인쇄
PROMPT         Windows 명령 프롬프트를 변경
PUSHD          현재 디렉터리를 저장한 다음 변경
RD             디렉터리를 제거
RECOVER        불량이거나 결함이 있는 디스크에서 읽을 수 있는 정보를 복구
REM            배치 파일 또는 CONFIG.SYS에 주석을 기록
REN            파일 이름 변경
RENAME         파일 이름 변경
REPLACE        파일 변경
RMDIR          디렉터리 제거
ROBOCOPY       파일과 디렉터리 트리를 복사할 수 있는 고급 유틸리티
SET            Windows 환경 변수를 표시, 설정 또는 제거
SETLOCAL       배치 파일에서 환경 변경의 지역화를 시작
SC             서비스(백그라운드 프로세스)를 표시하거나 구성
SCHTASKS       컴퓨터에서 실행할 명령과 프로그램을 예약
SHIFT          배치 파일에서 바꿀 수 있는 매개 변수의 위치 변경
SHUTDOWN       컴퓨터의 로컬 또는 원격 종료를 허용
SORT           입력을 정렬
START          지정한 프로그램이나 명령을 실행할 별도의 창을 시작
SUBST          경로를 드라이브 문자에 연결
SYSTEMINFO     컴퓨터별 속성과 구성을 표시
TASKLIST       서비스를 포함하여 현재 실행 중인 모든 작업을 표시
TASKKILL       실행 중인 프로세스나 응용 프로그램을 중단
TIME           시스템 시간을 표시하거나 설정
TITLE          CMD.EXE 세션에 대한 창 제목을 설정
TREE           드라이브 또는 경로의 디렉터리 구조를 그래픽으로 표시
TYPE           텍스트 파일의 내용을 표시
VER            Windows 버전을 표시
VERIFY         파일이 디스크에 올바로 기록되었는지 검증할지 여부를 지정
VOL            디스크 볼륨 레이블과 일련 번호를 표시
XCOPY          파일과 디렉터리 트리를 복사
WMIC           대화형 명령 셸 내의 WMI 정보를 표시

윈도우 디버깅 툴

agestore.exe - 마지막 접근 날짜를 근거로 파일을 삭제하는 유용한 파일 삭제 유틸리티
cdb.exe - 콘솔 기반의 유저 모드 디버거. NTSD와 거의 유사
dbengprx.exe - 서로 다른 두 머신 간에 데이터를 중계해주는 간단한 프록시 서버
dbgrpc.exe - 마이크로소프트 원격 프로시저 호출(RPC) 정보를 쿼리하고 표시
dbgsrv.exe - 원격 디버깅용으로 사용되는 프로세스 서버
dumpchk.exe - 메모리 덤프 파일의 유효성을 검사
 gflags.exe - 시스템 조율을 활성화하고 비활성화하는 구성 설정
kd.exe - 커널 모드 디버거
kdbgctrl.exe - 커널 모드 디버거 연결을 제어하고 설정
kdsrv.exe - 커널 모드 디버깅 동안에 사용되는 연결 서버
kill.exe - 프로세스를 종료(콘솔기반)
logger.exe - 함수 호출 같은 프로세스의 행위를 기록
lgviewer.exe - logger.exe 가 생성한 로그 파일뷰어
ntsd.exe - 콘솔 기반의 유저 모드 디버거. CDB와 유사
remote - 콘솔 프로그램을 원격으로 제어하는 툴
rtlist.exe - 원격 프로세스 리스트 뷰어
symchk.exe - 심볼 파일의 유효성을 확인하고 심볼 서버에서 심볼 파일을 받는다.
symstore.exe - 심볼 저장소를 생성하고 관리
tlist.exe - 모든 실행 프로세스를 목록화
umdh.exe - 메모리 누수 탐지에 사용
windbg.exe -  GUI를 제공하는 유저 모드와 커널 모드 디버거
심볼패키지 http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx

C:\>SET
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\USER\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=DESKTOP-USER
ComSpec=C:\Windows\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Users\USER
LOCALAPPDATA=C:\Users\USER\AppData\Local
LOGONSERVER=\\DESKTOP-USER
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=C:\Perl64\site\bin;C:\Perl64\bin;C:\Python27\;C:\Python27\Scripts;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Windows Kits\10\Windows Performance Toolkit\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 69 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=4501
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\Microsoft SQL Server\120\Tools\PowerShell\Modules\
PUBLIC=C:\Users\Public
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\USER\AppData\Local\Temp
TMP=C:\Users\USER\AppData\Local\Temp
USERDOMAIN=DESKTOP-USER
USERDOMAIN_ROAMINGPROFILE=DESKTOP-USER
USERNAME=USER
USERPROFILE=C:\Users\USER
VS100COMNTOOLS=c:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\Tools\
windir=C:\Windows