오토런(시작점:Autorun)이란, 컴퓨터가 부팅되면 자동적으로 실행이 되는 프로그램들의 목록을 의미한다. 프로세스로 치면 서비스와 같은 것들이다.


Autorunsc.exe는 이러한 오토런들의 정보를 출력시켜주는 프로그램이다. -a 옵션으로 모든 탭의 오토런들을 출력해주고, -c 옵션으로 csv형식으로 출력 가능하다.



[Figure 1 - Autorunsc.exe]

'공부 > Forensics' 카테고리의 다른 글

[Windows]Ipconfig.exe  (0) 2012.07.17
[Windows]Route.exe  (0) 2012.07.17
[Sysinternals]Psservice.exe  (0) 2012.07.17
[Windows]Doskey.exe  (0) 2012.07.17
[DiamindCS]Openports.exe  (1) 2012.07.17
Posted by extr
:

서비스란 일반적인 프로세스와는 달리, 시스템이 시작될 때 자동적으로 시작되는 특별한 프로세스들이다. 이는 사용자와 특별히 상호작용을 하지 않으며 사용자가 로그온을 하지 않아도 자동적으로 시작될 수 있는 특징이 존재한다. 그런 특징 떄문인지 많은 악성코드의 타겟이 되기도 한다.


Psservice.exe는 이러한 서비스에 대한 상세 정보를 알려주는 프로그램이다.



[Figure 1 - Psservice.exe]



동작중인 프로세스라면 STATE에 RUNNING으로 표시되어 한눈에 상태가 어떤지 파악할 수가 있다.


'공부 > Forensics' 카테고리의 다른 글

[Windows]Route.exe  (0) 2012.07.17
[Sysinternals]Autorunsc.exe  (0) 2012.07.17
[Windows]Doskey.exe  (0) 2012.07.17
[DiamindCS]Openports.exe  (1) 2012.07.17
[Sysinternals]Psfile.exe  (0) 2012.07.17
Posted by extr
:

psfile은 net file이나 openfiles와는 달리 전체 경로를 생략하지 않고, 수행한 작업을 나타내어준다.



[Figure 1 - Psfile.exe]


'공부 > Forensics' 카테고리의 다른 글

[Windows]Doskey.exe  (0) 2012.07.17
[DiamindCS]Openports.exe  (1) 2012.07.17
[Sysinternals]Psloggedon.exe  (0) 2012.07.16
[Windows]Net.exe  (0) 2012.07.16
[Sysinternals]ListDlls.exe  (0) 2012.07.16
Posted by extr
:

psloggedon.exe는 net session에서 존재하지 않는 기능이 존재한다.


원격 접속(remote, foreign) 사용자와, 로컬(local) 접속 사용자를 알 수 있기 때문이다.



[Figure 1 - psloggedon.exe]



위 그림을 통해 현재 로그온되어있는 로컬 사용자는 Administrator이고 원격 접속 사용자는 없는 것을 알 수 있다.



'공부 > Forensics' 카테고리의 다른 글

[DiamindCS]Openports.exe  (1) 2012.07.17
[Sysinternals]Psfile.exe  (0) 2012.07.17
[Windows]Net.exe  (0) 2012.07.16
[Sysinternals]ListDlls.exe  (0) 2012.07.16
[Sysinternals]Handle.exe  (1) 2012.07.16
Posted by extr
:

ListDlls.exe는 실행되는 프로세스의 전체 경로와 적용되어 있는 옵션, 프로세스가 로드한 DLL들의 이름, 버전, 전체 경로를 보여준다.



[Figure 1 - ListDlls]


'공부 > Forensics' 카테고리의 다른 글

[Sysinternals]Psloggedon.exe  (0) 2012.07.16
[Windows]Net.exe  (0) 2012.07.16
[Sysinternals]Handle.exe  (1) 2012.07.16
[Sysinternals]PsList.exe  (1) 2012.07.16
[Windows]Netstat.exe  (0) 2012.07.16
Posted by extr
:

시스템 자원에 접근을 하기 위해서는 항상 간접적으로 접근을 해야한다.


윈도우에서는 이러한 시스템 자원에 간접적 접근을 하기 위한 핸들(Handle) 이라는 것을 사용한다.


또한 핸들은 다음과 같은 특징을 지니고 있다.


1. 32bit 크기의 정수로 이루어짐

2. 운영체제가 만듬

3. 사용자는 쓸 수(write)만 있다.

4. 같은 종류의 핸들끼리는 같은 값을 가질 수 없음

 


핸들은 파일, 디렉터리, 포트, 레지스트리 키, 스레드, 세마포어(Semaphores) 등을 포함하고 있으며, 핸들을 살펴봄으로써 프로세스의 특성이나 해당 프로세스가 다른 시스템 요소(파일, 레지스트리, 네트워크 정보 등)에 주는 영향에 대해서도 알 수 있기 때문에 아주 중요한 요소라고 할 수 있다.



Handle.exe는 핸들 정보를 수집할 때 가장 많이 쓰이는 도구이다. -a 옵션으로 모든 핸들을 표시할 수 있고, -u 옵션으로 소유자의 이름을 나타낼 수 있다. 

더 많은 옵션은 help를 이용하자. 또한, 하나의 프로세스에는 대부분 다수의 핸들을 가지고 있고 핸들 또한 여러 종류가 존재하기 때문에 모든 핸들을 뽑아낸다면 상당히 많은 양이 나올 것이다. 만약 분석자가 리눅스 명령어를 사용할 수 있다면, grep을 이용하여 필요한 정보만 찾아내는 것도 좋은 방법이다.



[Figure 1 - Handle.exe]


'공부 > Forensics' 카테고리의 다른 글

[Windows]Net.exe  (0) 2012.07.16
[Sysinternals]ListDlls.exe  (0) 2012.07.16
[Sysinternals]PsList.exe  (1) 2012.07.16
[Windows]Netstat.exe  (0) 2012.07.16
[Matthieu]win64(32)dd.exe  (5) 2012.07.16
Posted by extr
:

sysinternals에서 제공하는 프로그램 중 하나이며, -x 옵션으로 프로세스가 사용하는 메모리와 스레드에 대한 정보를 볼 수 있고 -t옵션으로 프로세스 간의 상관관계 트리를 보여준다.


하지만 전체 경로를 보여주지 않는 아쉬움이 있는 프로그램이다.


[Figure 1 - pslist -t]



http://sysinternals.com에서 프로그램을 받을 수 있다.


'공부 > Forensics' 카테고리의 다른 글

[Sysinternals]ListDlls.exe  (0) 2012.07.16
[Sysinternals]Handle.exe  (1) 2012.07.16
[Windows]Netstat.exe  (0) 2012.07.16
[Matthieu]win64(32)dd.exe  (5) 2012.07.16
[Windows]Runas.exe  (0) 2012.07.15
Posted by extr
:

C:\Users\Administrator>Pslist -x


pslist v1.29 - Sysinternals PsList

Copyright (C) 2000-2009 Mark Russinovich
Sysinternals

Processor performance object not found on XXXXXX
Run Exctrlst from the Windows Resource Kit to repair the performance counters.


시스인터널즈 툴 쓸 때 어느순간부터 이럴 때가 있다.


레지스트리 설정을 재 구성하면 해결된다.


C:\Users\Administrator>lodctr /r


' > asdasd' 카테고리의 다른 글

Metasploit Framework을 우분투에 설치하기  (0) 2012.07.20
SUA(Subsystem for Unix-based Applications)  (1) 2012.07.16
우분투에서 backtrack의 툴을 써보자.  (1) 2012.07.13
RADIUS 서버 구축  (0) 2012.07.11
CHFI  (1) 2012.07.05
Posted by extr
: