본문 바로가기

모니터링

(2)
Sysmon - Windows Sysinternals : 시스템 모니터링 도구 Sysmon 소개 Sysmon은 MS사의 Sysinternals suite에 포함된 시스템 모니터링 툴이다. 설치를 하게되면 시스템에 상주하며 작업들을 모니터링하고 windows 이벤트로그에 기록을 저장하게 된다. 프로세스 생성이나 네트워크 연결, 파일 생성 시간 변경 등 기본적인 이벤트로그에 비하여 좀 더 자세한 정보를 제공한다. 수집된 결과를 자동으로 분석하여 결과를 제공하지는 않지만 이벤트뷰어나 별도의 SIEM 에이전트를 사용해 수집된 정보를 직접 분석하여 시스템에서 일어난 악성행위나 비정상적인 활동 등을 파악 할 수 있다. Sysmon 주요기능 / 옵션 Sysmon은 커맨드라인 기반으로 실행 시킬 수 있으며, 사용법은 아래와 같다. 설치를 할 때에는 자동으로 EULA를 수락하도록 -accepteu..
Winpcap 아키텍쳐를 사용한 Packet Sniffer tool with MFC 1학기 졸업과제로 진행하였던 Winpcap 아키텍쳐를 사용한 패킷 모니터링 툴입니다. Winpcap 아키텍쳐를 MFC에 포팅하여서 Cygwin없이 Windows 환경에서 구현을 하였습니다. 와어어 샤크를 롤모델로 삼고 개발에 임하였습니다. 교수님의 제안으로 모니터링 툴로 이름을 변경하였지만 일종의 패킷스니퍼(packet sniffer)라고 생각 하시면 되겠습니다. 여기에 IP 나 MAC 변조 기능을 갈고 수신 정보만 출력하게 한다면 스니퍼처럼 작동을 할겁니다. 사실 보안 툴이 어떻게 사용하냐에 따라서 180도 바뀌게 되죠. 먼저 프로그램이 실행되면, 네트워크 디바이스 리스트들을 읽어와서 출력을 해줍니다. 유저가 해당 디바이스를 선택하여 패킷 캡쳐를 누르면 해당 디바이스로 입출력되는 모든 패킷이 모니터링 ..