Information Security

BlackEnergy DDoS 트로이 악성코드 2008년 러시아와 조지아의 갈등 관계에서 조지아로의 사어비 공격에 사용 현대적 루트킷과 프로세스 인젝션 기술, 강한 암호화, 현대적 구조를 가짐. imageinfo를 해보면 2010-08-15 Local time은 15:22 세계시간으로는 19:22이라는 것을 알 수 있다. WinXPSP2x86 서비스 팩 설정 후 pstree 내용을 확인했다. 파일 이름이 이상한 프로세스를 확인할 수 있다. psscan 내용을 확인했다. 악성코드의 시작과 종료 시간을 알 수 있다. psxview를 통해서 숨겨진 프로세스를 확인했다. pslist와 pscan 값이 다르면 의심해야 한다. (logonui.exe는 값이 다르지만 제외) Pid 1260번은 검출되지 않아서 exp..

큰 회사의 고용인은 컴퓨터 남용으로 고발당했다. 동료들은 시스템 관리자에게 컴퓨터를 사용하여 하루 종일 게임을 하거나 메시지를 보낸다고 증언했다. 시스템 관리자는 그 고용인의 시스템을 모니터 하여 그 사용자가 Virtual Machine을 사용하는 것을 알아냈다. 고용인은 그 시스템을 Suspend 하고 있었기에 그 vmem의 정보를 수집했다. 1. 이미지가 만들어질 때 로컬 날짜와 시간은 언제인가? 정답: 2011-05-18 17:27:48 2. 어떤 OS를 사용하고 있었는가? 정답: WinXPSP2X86 / WinXPSP3x86 3. 어떤 프로세스들이 동작 중이었나(pid와 함께 작성)? 정답: msimn.exe(1128), IEXPLORE.EXE(1088), sol.exe(672), msmsgs.e..