BitCoder

RedTeam AtomicTest를 사용하려면 먼저 관리자 권한의 PowerShell을 실행합니다. Invoke-AtomicTest T1006 Invoke-AtomicTest명령을 -ShowDetails 옵션을 포함하여 실행하면 해당하는 테스트에 대한 설명을 볼 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -ShowDetails 다음과 같이 실행하면 해당 항목에 대한 테스트를 실행할 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 테스트 후에 테스트 이전으로 복구하려면 -Cleanup 옵션을 포함하여 명령을 실행합니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -Cleanup

윈도우 보안로그의 이벤트 ID를 아래와 같이 정리하였습니다. Event ID Task Category Description 한글 설명 4611 Security System Extension A trusted logon process has been registered with the Local Security Authority. 신뢰할 수 있는 로그온 프로세스가 로컬 보안 기관에 등록되었습니다. 이 로그온 프로세스는 로그온 요청을 전송하도록 신뢰됩니다. 4624 Logon An account was successfully logged on. 계정이 성공적으로 로그온되었습니다. 4625 Logon An account failed to log on. 계정을 로그온하지 못했습니다. 4627 Group Memb..

1. 정의 T1543은 시스템 프로세스에 대한 생성과 변경에 관한 테크닉입니다. T1543.003은 T1543의 하위 테크닉으로, 윈도우 서비스에 대한 생성과 변경에 관한 테크닉입니다. 2. 설명 악성코드 또는 공격자는 시스템에서 지속적으로 존재하여 실행되기 위하여 윈도우 서비스를 등록하거나 기존의 서비스를 수정합니다. 윈도우 서비스를 등록하기 위해서는 HIGH 권한이 필요합니다. 윈도우 서비스는 실행 시 SYSTEM 권한으로 실행되기 때문에 권한 상승을 목적으로 사용되기도 합니다. 따라서, 이 테크닉은 Tactics 중 TA0003 Persistence와 TA0004 Privilege Escalation에 속합니다. 3. AtomicRedTeam을 이용한 실험 이제 T1543.003에 대한 실험을 소개..

1. 소스코드 다음은 소스코드입니다. import win32serviceutil import servicemanager import ctypes import sys import time OutputDebugString = ctypes.windll.kernel32.OutputDebugStringW class MyServiceFramework(win32serviceutil.ServiceFramework): _svc_name_ = 'MyPythonService' _svc_display_name_ = 'My Python Service' is_running = False def SvcStop(self): OutputDebugString("MyServiceFramework __SvcStop__") self.is_r..

제외항목을 추가하려면 다음과 같은 명령을 사용합니다. powershell -Command Add-MpPreference -ExclusionPath "C:\myapp" powershell -Command Add-MpPreference -ExclusionProcess "myapp.exe" powershell -Command Add-MpPreference -ExclusionExtension ".myext" 제외항목을 삭제하려면 다음과 같은 명령을 사용합니다. powershell -Command Remove-MpPreference -ExclusionPath "C:\myapp" powershell -Command Remove-MpPreference -ExclusionProcess "myapp.exe" powers..

에러 내용 에러 내용은 다음과 같습니다. Spectre-mitigated libraries are required for this project. Install them from the Visual Studio installer (Individual components tab) for any toolsets and architectures being used. Learn more: https://aka.ms/Ofhn4c 해결방법 참고자료 - MSBuild 오류 MSB8040 https://docs.microsoft.com/ko-kr/visualstudio/msbuild/errors/msb8040?view=vs-2022

1. 개요 윈도우 시스템의 문제를 진단하는데 사용된다. 2. 이벤트 로그 파일 이벤트 로그는 EVTX 파일 형식으로 저장된다. 2.1. 이벤트 로그 파일의 위치 윈도우 이벤트 로그파일들은 %SystemRoot%\System32\winevt\logs에 위치한다. 이벤트 로그파일들의 내용을 읽고 처리하려면 high integrity 권한을 가진 프로세스를 실행해야 한다. 다음은 파일 탐색기로 접근한 해당 폴더에 대한 그림이다. 2.2. 이벤트 로그 파일 분류 다음은 주요 이벤트 로그와 그에 대한 설명이다. 파일이름 설명 Application.evtx 응용 프로그램 로그 각각의 응용 프로그램에서 기록한 이벤트를 기록 Internet Explorer.evtx Internet Explorer 이벤트 OSessio..

회문(回文) 또는 팰린드롬(palindrome)은 거꾸로 읽어도 제대로 읽는 것과 같은 문장이나 낱말, 숫자, 문자열(sequence of characters)을 말합니다. 파이썬프로그래밍언어를 이용하여 회문을 검사하는 파이썬 함수를 소개합니다. 다음은 소스코드입니다. def isPalindrome(word): for i in range(0, int(len(word)/2)): if word[i] != word[len(word)-1 - i]: return False return True print(isPalindrome("기러기")) print(isPalindrome("소주 주소")) print(isPalindrome("토마토")) print(isPalindrome("eye")) print(isPalind..

다음은 코드입니다. import requests, json def get_trade_log_list(pSize): apikey = '6XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX7' url = 'https://openapi.gg.go.kr/Apttradedelngdetail' params ={ 'KEY' : apikey, 'type':'json', 'pSize':pSize, } response = requests.get(url, params=params) trade_log_list = response.json() trade_log_list = trade_log_list['Apttradedelngdetail'] trade_log_list = trade_log_list[1]['row'] #prin..

이전의 글에서 경기도 아파트 매매 실거래 데이터 가져오기를 살펴보았습니다. 이번에는 이 가져온 데이터로 그래프를 그려보겠습니다. 가져오는 데이터의 수를 변경해보며 실행해보기 위해 데이터를 가져오는 기능을 함수로 만들었습니다. 주어지는 매개변수는 가져오는 데이터의 수입니다. 코드는 다음과 같습니다. import requests, json def get_trade_log_list(pSize): apikey = '6XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX7' url = 'https://openapi.gg.go.kr/Apttradedelngdetail' params ={ 'KEY' : apikey, 'type':'json', 'pSize':pSize, } response = requests.get..