Hacking & Security/Windows (6) 썸네일형 리스트형 [ Security_Windows ] Windows Logon Type 이벤트 로그온에 대한 분석 시 로그온 유형을 매번 헷갈려서(10번이 원격인것만 빼고ㅎㅎㅎ) 로그온 유형에 대한 내용을 정리하여 보았다. 0 : 시스템 계정만이 사용함. 2 - Interactive(대화식) : 콘솔에서 키보드로 로그온, 로컬 로그온, 터미널, 원격쉘과 같은 로그온 형식. 3 - Network(네트워크) : 기본인증, 네트워크를 통한 원격 로그온. (파일공유, IIS 접속 등) 4 - Batch(자동실행, 스케쥴) : 예약 작업, 스케줄에 등록된 작업을 실행 시 미리 설정된 계정 정보로 로그온. 5 - Service(서비스) : 서비스가 실행될때 미리 설정된 계정 정보로 로그온. 6 - Proxy(프록시) : 프록시 타입으로 로그온. 7 - Unlock(잠금해제) : 화면보호기 잠김 해제 .. [ Security_Windows ] 대용량 로그파일 필터 AccessLog나 ErrorLog등의 로그 파일들은 대형 사이트의 경우 하루치 로그 용량이 거대하다. 대략 1 ~ 3-4 기가 바이트 정도로 에디터로 열기도 힘들고... (상용 에디터로 열수도 있음 ^^) 열었다고 해도 찾는 데도 힘들다. 하지만 윈도우 상에서 간단하게 찾을 수 있는 명령을 소개한다. 아래 명령은 파일을 못여는 일은 없을테고, 시간은 만족할만한 수준이다. C:\>type 파일명 | find "찾을 내용" > 저장할파일 ex. C:\>type fckorea_110524.log | find "fckorea!" > fckorea_filtered.txt [ Security_Windows ] _ETHREAD 구조체. _ETHREAD 구조체 lkd> dt nt!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 CreateTime : _LARGE_INTEGER +0x1c0 NestedFaultCount : Pos 0, 2 Bits +0x1c0 ApcNeeded : Pos 2, 1 Bit +0x1c8 ExitTime : _LARGE_INTEGER +0x1c8 LpcReplyChain : _LIST_ENTRY +0x1c8 KeyedWaitChain : _LIST_ENTRY +0x1d0 ExitStatus : Int4B +0x1d0 OfsChain : Ptr32 Void +0x1d4 PostBlockList : _LIST_ENTRY +0x1dc TerminationPort : Ptr32 _TERMINATIO.. [ Security_Windows ] _EPROCESS 구조체. _EPROCESS 구조체 lkd> dt nt!_EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect : _EX_RUNDOWN_REF +0x084 UniqueProcessId : Ptr32 Void // ProcessID +0x088 ActiveProcessLinks : _LIST_ENTRY // ProcessList +0x090 QuotaUsage : [3] Uint4B +0x09c QuotaPeak : [3] Uint4B +0x0a8 CommitCharge.. [ Security_Windows ] Windows System Call Table. Windows System Call Table. [ Security_Windows ] Listing of the NT Native API functions. Listing of the NT Native API functions. 이전 1 다음