의미없는 블로그

보호되어 있는 글입니다.

파일 생기고 삭제되는거 모니터링 된다 리눅스는 auditd 데몬 실행상태여야 하고 (거의 다 default 로 활성화 되어있음) 윈도우는 개체 액세스 감사(SACL) 정책 활성화 하면 되는데 2008 이후 부터는 상관없다고 함 에이전트 서버에 ps -ef | grep audit 으로 데몬 활성화 여부 확인하고 매니저 서버 agent.conf 에 아래 설정해줌 (check all 아니고 check_all 임) 원격으로 에이전트 재기동 해줬다 에이전트 id는 와저 gui 에서 확인 가능 에이전트 서버에서 /etc 하위에 파일 생성 탐지된다요 https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-setti..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

24년 전자금융에 SNMPv3 사용 항목 생겼다 [Windows] SNMP 설치된 서버에서 Community String 설정해줌 SNMP 설치는 Add Roles 에서 AD 어쩌고저쩌고 선택하면 Features 에 SNMP 뜬다 윈도우 방화벽에서 udp 161, 162 열어준다 gcp 방화벽에서도 열어줘야 Net-SNMP 설치하면 snmpwalk 깔린다 (http://www.net-snmp.org/download.html) net-snmp-5.5.0-2.x64.exe 로 깔았음 버전 지정해서 연결 시도할 수 있음 snmpwalk -v1 -c [커뮤니티스트링] [호스트] v1 로 잘 붙음 v2 도 잘 붙음 v3 어케 설정함? mg-soft 에서 제공하는 SNMP Master Agent 라는게 있는데 (h..

SHA1 체크섬 확인 0x80 : 부팅 가능 (00 부팅 불가능) 0x07 : NTFS (0B, 0C - FAT32 / 06 - FAT16 / 85 - Solaris) 0x00000020 : 파일시스템 BR 위치의 섹터 32 0x001E3BE0 : 총 섹터 개수 1,981,408 BR 시작 주소 : 32 * 512 = 16384 = 0x4000 NTFS 니까 VBR 이다 VBR 에서 $MFT 클러스터 넘버 : 0x1427E 클러스터 당 섹터 수 : 0x8 0x1427E * 0x8 = 660464 660464 + 32(시작섹터) = 660496 660496 * 512 = 0x14282000 상세 분석 https://study-self.tistory.com/99 요기 참고 시간 순서대로..

FTK Imager 다운로드 : https://www.exterro.com/forensic-toolkit 머 정보 입력하라고 하는데 아무거나 입력하면 돼서 이메일만 test@test.com 으로 하면 다운되징 가지고 있는 이미지 파일 Import 하면 된다 HxD 다운로드 : https://mh-nexus.de/en/hxd/ Dcode 다운로드 : https://www.digital-detective.net/dcode/ NTFS Walker 다운로드 : https://dmitrybrant.com/ntfswalker