'레퍼런스'에 해당되는 글 18건
- 2012.10.05 [시만텍] dwf~.tmp 파일 반복 탐지 대응/조치
- 2012.10.04 [윈도우]시스템 관리자 필수 명령어 집합(.exe|.msc)
- 2012.09.24 [리버싱] 참고사이트&블로그 목록
- 2012.09.21 System Center Configuration Manager(SCCM)
- 2012.09.20 [OllyDbg] My ollydbg 초기설정
- 2012.09.20 [OllyDbg] 알아두면 유용한 단축키
- 2012.09.17 프로토콜 구조 완벽 해부
- 2012.09.17 웹 해킹 도구들..
시만텍 백신을 사용하던 중, 새로운 바이러스 정의 위체에 있는 검역을 스캔하면서 .dwf 파일이 반복적으로 자동보호에 의해 감지되면서 하루에도 수백건의 탐지로그를 뿌리는 에러가 발견되기도 한다.
이럴때, 대응할 수 있는 조치방안을 Symantec에서는 아래와 같이 기술하였다.
참고하자.
□ URL: http://www.symantec.com/business/support/index?page=content&id=TECH102953&locale=en_US
When new virus definitions are in place and the quarantine is being scanned, a DWH file is created and detected by Auto-Protect
| Article:TECH102953 | | | Created: 2007-01-19 | | | Updated: 2012-07-10 | | | Article URL http://www.symantec.com/docs/TECH102953 |
Problem
1. DWH files are created and flagged as malicious by Symantec Endpoint Protection's Auto-protect.
2. Items in quarantine double every time new definitions arrive.
Error
No specific "Errors" are logged, as these detections are valid.
Cause
When the virus definitions are updated in the Symantec Endpoint Protection (SEP) client or the Symantec AntiVirus Corporate Edition (SAVCE) client, there is an option to "Rescan the Quarantine".
This enables the SAVCE/SEP client to inspect the files stored in the local quarantine and verify if any of them can be repaired with the updated AV signatures.
When the files were originally quarantined, they were compressed and encrypted to ensure that the stored version cannot continue to infect the local machine. Consequently, the SAVCE/SEP client must extract the original file(s) from this quarantine packaging before it can be re-scanned.
During this file extraction process, a temporary file - named DWHxxxx.tmp - is created in the working directory of the SAVCE/SEP client. This is typically within the "%App Data%\Symantec\" folder, but in certain older builds of SEP and SAVCE, it may also use the windows "%TEMP%" folder.
Normally, this temporary file will not be scanned by the SAVCE/SEP Auto Protect function because SEP is already handling the file, i.e. SEP knows that it owns the file. However, if a third-party process accesses that file while it is being created, the SEP Auto Protect function will intercept this file access and will declare the file as un-trusted because another process, possibly malicious, had accessed the file.
This will cause the file to be seen as a "new" file and un-trusted. Accordingly, the file will be scanned. This results in an already quarantined and infected file getting re-scanned. Additionally, it will be treated as a suspect file and quarantined, resulting in a duplicate file being added to the local quarantine.
Finally, as each definition set is received by the SEP or SAVCE client and the local quarantine is re-scanned, the above process repeats, and the contents of the local quarantine are doubled.
Solution
The issue of multiple DWH files being created and retained has been improved in SEP 11 Release Update 7 Maintenance Patch 2 (RU7 MP2) and SEP 12.1 RU1 MP1. Please see Migrating to Symantec Endpoint Protection 11.0.7200 (RU7 MP2) or Upgrading or migrating to Symantec Endpoint Protection 12.1.1101 (RU1 MP1) for details on how to apply this update.
Based on the severity of the detections, there are some known workarounds that should resolve the issue. These are listed in order of preference:
- Disable rescanning of the local quarantine upon receipt of new virus definitions.
-
Open the Antivirus and Antispyware policy > Windows Settings > Quarantine > General
-
Under "When New Virus Definitions Arrive" choose Do nothing".
In SEP 12.1 versions, this policy will be called Virus and Spyware Protection and Quarantine will be under Advanced Options.
-
-
Limit the size of the Quarantine folder.
-
In the right-hand panel, on the Cleanup tab, under Quarantined Files, check Enable automatic deleting of quarantined files that could not be repaired (default: Delete after 30 days) and Delete oldest files to limit folder size at: (default 50 MB).
-
Click Ok and, if needed, assign the policy.
-
-
Ensure that no processes or services (such as Windows Indexing Service for example) can access or monitor SAVCE or SEP files.
-
Ensure that the "%TEMP%" folder is not open when virus definitions are updated.
-
Restart in safe mode, delete *.DWH files in the temporary folder, and empty the quarantine folder.
If the quarantine, temporary directories, or xfer_temp folders have gotten too big for Windows to open or clear the contents, it may be necessary to do this from a command prompt. Symantec also has a tool called SymDelTmps which can help delete the temporary files on a machine that is difficult to work with. Please contact Technical Support and ask for this utility if you would like to use it.
The instructions below are for a standard installation. If the client is installed somewhere other than the default location, please be sure to change the path for the files and folders in the commands below. The commands will vary based on operating system, so choose the command that is appropriate for your computer.
Deleting files from User Temp folder
Type the following command in Command Prompt. (The following string will vary depending on the user name.) Replace "<NAMEOFUSER>" with the username of the desired Windows user you wish to empty the temp folder for:
Windows 2000/XP/2003:
DEL /F /Q "C:\Documents and Settings\<NAMEOFUSER>\Local Settings\Temp"
Windows Vista/7/2008:
DEL /F /Q "C:\Users\<NAMEOFUSER>\AppData\Local\Temp"
Deleting the contents of the temp folder at the root of C:\
Type the following command in Command Prompt:
DEL /F /Q C:\temp
Deleting the contents of the Windows Temp folder
Type the following command in Command Prompt:
DEL /F /Q C:\WINDOWS\Temp
Deleting the contents of the xfer and/or xfer_temp directories
Type the following command in Command Prompt:
Windows 2000/XP/2003:
SEP 11.x
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"
SEP 12.1
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\<silo>\Data\xfer_tmp\"
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\<silo>\Data\xfer\"
Windows Vista/7/2008:
SEP 11.x
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"
SEP 12.1
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\<silo>\Data\xfer_tmp\"
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\<silo>\Data\xfer\"
The Quarantine Folder
Note: The following instructions are to be done from the Command Prompt as attempting to open the Quarantine folder in the Windows user interface may result in delays and Windows Explorer application hangs due to the large amount of files that can reside there.
Delete the Quarantine Folder
Type the following commands in the Command Prompt:
Windows 2000/XP/2003:
SEP 11.x
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
RD /S /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
SEP 12.1
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\<silo>\Data\Quarantine\"
RD /S /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\<silo>\Data\Quarantine\"
Windows Vista/7/2008:
SEP 11.x
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
RD /S /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
SEP 12.1
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\<silo>\Data\Quarantine\"
RD /S /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\<silo>\Data\Quarantine\"
Recreate the Quarantine Folder
Type the following commands in the Command Prompt:
Windows 2000/XP/2003:
SEP 11.x
MD "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
SEP 12.1
MD "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\<silo>\Data\Quarantine\"
Windows Vista/7/2008:
SEP 11.x
MD "C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
SEP 12.1
MD "C:\ProgramData\Symantec\Symantec Endpoint Protection\<silo>\Data\Quarantine\"
Start the Symantec Endpoint Protection
1. Click Start, then Run
2. Type: smc -start
3. Click OK
NOTE: It is important to recognize that there are applications, such as Windows Indexing Service, that routinely attempt to touch each file.
Other known applications are Backup applications. In these cases, if that application can make an exclusion for *.DWH, it is strongly advised to implement that exclusion.
GUI환경의 윈도우 운영체제를 사용하다보면, 때때로 귀찮아 질때가 있다.
기본 응용프로그램을 사용하고자 하면, 꼭 [윈도우] > [보조프로그램] > [메모장]을 찾아서 실행시켜야 하듯이(물론, 바로가기라는 기능이 있지만, 깨끗한 바탕화면을 좋아하기 때문에 잘 사용안함)...
이럴 경우, 사용할 수 있는 콘솔 명령어와 함께 윈도우 시스템 관리자라면 한번쯤 사용해 보는 게 좋은 법한 명령어들을 아래와 같이 정리해 보았다.
이 명령들은, 내가 시스템분석 및 관리에 자주 사용하는 명령들을 기초로 작성하였다.
|
.EXE Type |
Desc |
.MSC Type |
Desc |
|
notepad.exe |
메모장 |
azman.msc |
권한부여 관리자 |
|
write.exe |
워드패드 |
certmgr.msc |
인증서관리 |
|
taskmgr.exe |
작업관리자 |
eventvwr.msc |
이벤트 뷰어 |
|
iexplore.exe |
IE |
secpol.msc |
로컬보안 정책 관리도구 |
|
mspaint.exe |
그림판 |
rsop.msc |
정책결과 집합 |
|
sndrec32.exe |
녹음기 |
wf.msc |
윈도우즈 방화벽 관리도구 |
|
sndvol32.exe |
마스터볼륨 |
tpm.msc |
로컬컴퓨터 TPM 관리도구 |
|
calc.exe |
계산기 |
services.msc |
서비스 관리도구 |
|
magnify.exe |
돋보기 |
taskschd.msc |
작업스케줄러 |
|
osk.exe |
화상키보드 |
WmiMgmt.msc |
콘솔루트 WMI컨트롤 |
|
rstrui.exe |
시스템복원 |
printmanagement.msc |
인쇄관리 |
|
odbcad32.exe |
ODBC데이터원본관리자 |
perfmon.msc |
성능모니터 |
|
migwiz.exe |
파일및설정전송마법사 |
NAPCLCFG.msc |
NAP클라이언트 구성 |
|
control.exe |
기본프로그램 설정 |
gpedit.msc |
그룹정책 관리도구 |
|
dfrgui.exe |
디스크조각모음 |
devmgmt.msc |
장치관리자 |
|
cmd.exe |
명령프롬프트 |
compmgmt.msc |
컴퓨터관리 |
|
regedit.exe |
레지스트리 편집기 |
comexp.msc |
구성요소 서비스 |
|
dxdiag.exe |
다이렉트 진단도구 |
diskmgmt.msc |
디스크관리 도구 |
|
charmap.exe |
시스템문자표 |
fsmgmt.msc |
공유폴더 |
|
wupdmgr.exe |
윈도우업데이트 |
lusrmgr.msc |
로컬사용자 및 그룹 |
|
mstsc.exe |
원격데스크톱 연결 |
|
|
|
accwiz.exe |
내게 필요한 옵션 |
|
|
|
utilman.exe |
유틸리티관리자 |
|
|
|
wiaacmgr.exe |
스캐너 및 카메라 마법사 |
|
|
|
mobsync.exe |
동기화 |
|
|
|
rstrui.exe |
시스템복원 |
|
|
|
ntbackup.exe |
시스템백업 |
|
|
|
powershell.exe |
파워쉘 |
|
|
|
rcimlby.exe |
원격지원 |
|
|
|
eudcedit.exe |
사용자정의 문자편집기 |
|
|
'레퍼런스 > 시스템' 카테고리의 다른 글
| 감염된 드라이버 수동복원 방법 (0) | 2012.10.05 |
|---|---|
| [리버싱] 참고사이트&블로그 목록 (0) | 2012.09.24 |
| System Center Configuration Manager(SCCM) (0) | 2012.09.21 |
| [OllyDbg] My ollydbg 초기설정 (0) | 2012.09.20 |
| [OllyDbg] 알아두면 유용한 단축키 (0) | 2012.09.20 |
여기서는, 이리저리 돌아다니며 리버싱과 관련된 높은 수준의 내용을 다루던 사이트&블로그를 기록하고 틈틈히 라도 방문하자는 목적의 사이트&블로그 목록을 기록한다.
다 확인하고자하면 욕심이겠지... 하지만 보면 볼수록 도움이 된다는 것은 확실한 사실일 것이다..
'레퍼런스 > 시스템' 카테고리의 다른 글
| 감염된 드라이버 수동복원 방법 (0) | 2012.10.05 |
|---|---|
| [윈도우]시스템 관리자 필수 명령어 집합(.exe|.msc) (0) | 2012.10.04 |
| System Center Configuration Manager(SCCM) (0) | 2012.09.21 |
| [OllyDbg] My ollydbg 초기설정 (0) | 2012.09.20 |
| [OllyDbg] 알아두면 유용한 단축키 (0) | 2012.09.20 |
<개요>
[System Center 2012 Configuration Manager]는 Microsoft 플랫폼을 위한 포괄적인 구성 관리를 제공함으로써 IT 조직에서 사용자가 장치 및 응용 프로그램을 효율적으로 사용하여 생산성을 늘리면서 회사의 규정 준수 및 제어 기능을 유지 관리할 수 있도록 지원한다.
SCCM은 물리, 가상, 분산 및 모바일 환경에서도 다양한 클라이언트 컴퓨터, 서버, 장치를 종합적으로 평가, 배포, 업데이트할 수 있기 때문에 매우 매력적인 제품이며, 또한 Windwos에 최적화 되어 있기 때문에 국내 IT시스템 분석/제어에 효과적일 수 있겠다.
<주요이점>
- 물리, 가상 및 모바일 환경의 종합적인 클라이언트 관리가 가능
- Windows 최적화 지원
- 기존 인프라의 투자 극대화
- 관리자가 원하는 구성 상태에 대한 시스템 준수
<기능>
- 자산관리: IT인프라 및 자산에 대한 제어 기능이 뛰어나기 때문에 관리자에 의한 자산 인텔리전스 기술을 통해 하드웨어 및 소프트웨어 자산 보유 현황 및 관련 위치와 자산 사용자에 대해 지속적인 파악이 가능
- 소프트웨어 업그레이드 관리: 전사적인 IT 시스템 업데이트를 구현하고 관리하는데 용이
- 구성관리: 소프트웨어 상태 및 보안설정의 규정 준수 여부확인 가능
- 소프트웨어 배포: 복잡한 소프트웨어 배포과정을 간소화
- 클라이언트 전력 관리 ( 전력소모량을 줄여 재정적이득을 갖게한다네요;;;; )
- 원격 PC 진단 및 수리: AMTv3 통합되어 전원이 꺼져있거나 시작 전 상태에서도 데스크톱 시스템을 원격으로 액세스, 진단 및 수리
위와 같이 SCCM은 Windwos로 구성된 기업이라면 매우 효율적인 기능을 포함하고 있지만, 유지보수 비용이 시스템 소유비용의 70%에 육박하는 수준인 Configuration Manager는 부담이 아니될 수 없다는게 안타까울 뿐이다. (ㅜㅜ)
현재 SCCM은 2012 RC 평가판(베타버전?)이 출시되어 있으니, 자산관리 및 종합적인 클라이언트 관리를 하려는 분들은 베타버전을 사용해보고 판단해보길 바란다.
좀 더 상세한 정보를 확인하고자 하는 경우에는 아래의 페이지를 통해 확인하길 바란다.
http://technet.microsoft.com/en-us/systemcenter/hh880681
아래는, 가이드 페이지이다.
'레퍼런스 > 시스템' 카테고리의 다른 글
| [윈도우]시스템 관리자 필수 명령어 집합(.exe|.msc) (0) | 2012.10.04 |
|---|---|
| [리버싱] 참고사이트&블로그 목록 (0) | 2012.09.24 |
| [OllyDbg] My ollydbg 초기설정 (0) | 2012.09.20 |
| [OllyDbg] 알아두면 유용한 단축키 (0) | 2012.09.20 |
| 악성코드 분석에 응용 가능한 도구&자원 (0) | 2012.09.17 |
여기서는, 일반적으로 사용하는 Ollydbg 파일을 다운로드 받고 설정하는 전반적인 내용을 다루지 않겠다. 왜냐하면, 그와같은 내용은 다른 사이트&블로그에서 많이 다루고 있기 때문이다.
만약, 전체적인 OllyDbg 설치와 설정의 내용을 알고 싶다면 아래 두 사이트를 참조하길 권장하겠다.
- OllyDbg Home: http://www.ollydbg.de/
- OllyDbg Quick start: http://www.ollydbg.de/quickst.htm
여기서 다루는 초기설정방법은 이 글에 포함(첨부)된 파일을 대상으로 설명하며, 이 파일은 지극히 개인적인 성향에 맞추어 설정된 파일이다. ( ^^;; )
<ollydbg 첨부파일>
ollydbg.zip
<이글에 포함된 ollydbg 파일의 장점>
1. 분석에 용이한 ollydbg.ini 수정/적용
2. 다양한 plugins 추가
- ollydump
- ollyscript
<초기설정 방법>
1. 이 글에 첨부된 파일을 다운로드/압축해제한다.
2. OLLYDBG.EXE를 실행하고, options > appearance 를 아래와 같이 수정.
( 아래의 UDD/Plugin Path는 자신이 사용할 곳에서 디렉토리를 생성하고, 각각의 경로에 맞는 path로 설정해 준다. )
3. options > Debugging options 를 아래와 같이 수정.
'레퍼런스 > 시스템' 카테고리의 다른 글
| [윈도우]시스템 관리자 필수 명령어 집합(.exe|.msc) (0) | 2012.10.04 |
|---|---|
| [리버싱] 참고사이트&블로그 목록 (0) | 2012.09.24 |
| System Center Configuration Manager(SCCM) (0) | 2012.09.21 |
| [OllyDbg] 알아두면 유용한 단축키 (0) | 2012.09.20 |
| 악성코드 분석에 응용 가능한 도구&자원 (0) | 2012.09.17 |
[ OllyDbg Shortcuts ]
Frequently used global shortcuts:
| Ctrl+F2 | Restart program |
| Alt+F2 | Close program |
| F3 | Open new program |
| F5 | Maximize/restore active window |
| Alt+F5 | Make OllyDbg topmost |
| F7 | Step into (entering functions) |
| Ctrl+F7 | Animate into (entering functions) |
| F8 | Step over (executing function calls at once) |
| Ctrl+F8 | Animate over (executing function calls at once) |
| F9 | Run |
| Shift+F9 | Pass exception to standard handler and run |
| Ctrl+F9 | Execute till return |
| Alt+F9 | Execute till user code |
| Ctrl+F11 | Trace into |
| F12 | Pause |
| Ctrl+F12 | Trace over |
| Alt+B | Open Breakpoints window |
| Alt+C | Open CPU window |
| Alt+E | Open Modules window |
| Alt+L | Open Log window |
| Alt+M | Open Memory window |
| Alt+O | Open Options dialog |
| Ctrl+T | Set condition to pause Run trace |
| Alt+X | Close OllyDbg |
Frequently used Disasembler shortcuts:
| F2 | Toggle breakpoint |
| Shift+F2 | Set conditional breakpoint |
| F4 | Run to selection |
| Alt+F7 | Go to previous reference |
| Alt+F8 | Go to next reference |
| Ctrl+A | Analyse code |
| Ctrl+B | Start binary search |
| Ctrl+C | Copy selection to clipboard |
| Ctrl+E | Edit selection in binary format |
| Ctrl+F | Search for a command |
| Ctrl+G | Follow expression |
| Ctrl+J | Show list of jumps to selected line |
| Ctrl+K | View call tree |
| Ctrl+L | Repeat last search |
| Ctrl+N | Open list of labels (names) |
| Ctrl+O | Scan object files |
| Ctrl+R | Find references to selected command |
| Ctrl+S | Search for a sequence of commands |
| Asterisk (*) | Origin |
| Enter | Follow jump or call |
| Plus (+) | Go to next location/next run trace item |
| Minus (-) | Go to previous location/previous run trace item |
| Space ( ) | Assemble |
| Colon (:) | Add label |
| Semicolon (;) | Add comment |
'레퍼런스 > 시스템' 카테고리의 다른 글
| [윈도우]시스템 관리자 필수 명령어 집합(.exe|.msc) (0) | 2012.10.04 |
|---|---|
| [리버싱] 참고사이트&블로그 목록 (0) | 2012.09.24 |
| System Center Configuration Manager(SCCM) (0) | 2012.09.21 |
| [OllyDbg] My ollydbg 초기설정 (0) | 2012.09.20 |
| 악성코드 분석에 응용 가능한 도구&자원 (0) | 2012.09.17 |
내용을 보시려면 비밀번호를 입력하세요.
Web Hacking Tools ( provide: http://www.webhackingexposed.com/tools.html )
Free Web Security Scanning Tools
Nikto
N-Stalker NStealth Free Edition
Burp Suite
Paros Proxy
OWASP Webscarab
SQL Injection
SQL Power Injector by Francois Larouche
Bobcat (based on "Data Thief" by Application Security, Inc.).
Absinthe - free blind SQL injection tool
SQLInjector by David Litchfield
NGS Software database tools
Cross-Site Scripting (XSS)
RSnake's XSS Cheat Sheet
XSS-Proxy
IE Extensions for HTTP Analysis
TamperIE
IEWatch
IE Headers
IE Developer Toolbar
IE 5 Powertoys for WebDevs
Firefox Extensions for HTTP Analysis
LiveHTTP Headers
Tamper Data
Modify Headers
HTTP/S Proxy Tools
Paros Proxy
WebScarab
Fiddler HTTP Debugging Proxy
Burp Intruder
WatchFire PowerTools
ProxMon
ratproxy
Command-line HTTP/S Tools
cURL
Netcat
Sslproxy
Openssl
Stunnel
Sample Applications
Bayden Systems' "sandbox" online shopping application
Foundstone Hacme Bank and Hacme Books
Web Site Crawling/Mirroring Tools
Lynx
Wget
Teleport Pro
Black Widow
Offline Explorer Pro
Profiling
HTTPrint for fingerprinting web servers
Jad, the Java Dissasembler
Google search using "+www.victim.+com"
Google search using 뱎arent directory� robots.txt
Web Platform Attacks and Countermeasures
Microsoft IIS Security Bulletins and Advisories
Apache Security Bulletins
Metasploit Framework
Microsoft URLScan
Apache ModSecurity
Commercial Web App Vulnerability Scanners
Acunetix Enterprise Web Vulnerability Scanner
Cenzic Hailstorm
Ecyware GreenBlue Inspector
Syhunt Sandcat Suite
SPI Dynamics WebInspect
Watchfire AppScan
NTObjectives NTOSpider
Compuware DevPartner SecurityChecker
WhiteHat Security
Web Authentication Attack Tools
Brutus AET2
Hydra
WebCracker
NTLM Authentication Proxy Server (APS)
XML Web Services (SOAP)
WebService Studio
WSDigger
SoapClient.com
XML eXternal Entity (XXE) Attack
XPath Injection
"Blind XPath Injection" by Amit Klein
'레퍼런스 > 해킹' 카테고리의 다른 글
| [backtrack5] How to Fix Metasploit posgresgl & Fast-Track issues (0) | 2012.11.30 |
|---|---|
| Hacking Took List (by purpose) (0) | 2012.09.17 |
