'Windows'에 해당되는 글 44건

  1. 2012.03.07 Windows 이벤트 로그에서 데이터를 수집하는 방법
  2. 2011.09.09 POST EXPLOITATION COMMAND LISTS
  3. 2011.04.19 윈도우 커멘드라인 명령 패킷 스니퍼 RawCap
2012.03.07 18:51

Windows 이벤트 로그에서 데이터를 수집하는 방법

GetDefaultInitialConfiguration 메서드를 호출하고 WindowsEventLog 데이터 원본을 추가한 다음 변경된 구성으로 Start 메서드를 호출하여 Windows 이벤트 로그에서 이벤트 데이터를 수집할 수 있습니다. 이 단원의 단계를 시작하기 전에 진단 모니터를 초기화해야 합니다. 이렇게 하려면 Windows Azure 진단 모니터를 초기화하는 방법을 참조하십시오.

XPath 식을 사용하여 수집할 이벤트를 지정할 수 있습니다. 데이터를 쿼리하는 방법에 대한 자세한 내용은 이벤트 사용을 참조하십시오.

이벤트 데이터를 수집하려면
  1. 역할에 대한 진입점이 포함된 원본 파일을 엽니다.

  2. 프로젝트에서 Microsoft.WindowsAzure.Diagnostics.dll 파일을 참조하고 해당 파일에 다음과 같은 using 문이 추가되어 있는지 확인합니다.

    using Microsoft.WindowsAzure.Diagnostics;
    
    note참고
    일반적으로 다음 단계의 코드가 역할의 OnStart 메서드에 추가됩니다.

  3. 구성 인스턴스를 가져옵니다. 다음 코드 예제에서는 구성 개체를 가져오는 방법을 보여 줍니다.

    var config = DiagnosticMonitor.GetDefaultInitialConfiguration();
    
  4. 이벤트 데이터를 수집하는 데 사용할 데이터 버퍼를 지정합니다. 추가할 수 있는 데이터 버퍼에 대한 자세한 내용은DiagnosticMonitorConfiguration을 참조하십시오. 다음 예제에서는 구성에 추가할 WindowsEventLog 데이터 버퍼를 보여 줍니다. 이 버퍼는 시스템 채널에서 이벤트 데이터를 수집하도록 정의되어 있습니다.

    config.WindowsEventLog.DataSources.Add("System!*");
    
    
    note참고
    Windows Azure 진단을 사용하여 Windows 이벤트 로그에서 보안 채널을 읽을 수는 없습니다.
    응용 프로그램은 Windows Azure에서 보안 채널을 읽을 수 있는 권한이 없는 제한된 Windows
    서비스 계정으로 실행됩니다. 보안 채널에서 로그 정보를 요청할 경우 요청하는 코드를 제거할
    때까지 진단 구성이 제대로 작동하지 않습니다.

  5. 변경된 구성으로 진단 모니터를 다시 시작합니다. 다음 코드 예제에서는 모니터를 다시 시작하는 방법을 보여 줍니다.

    DiagnosticMonitor.Start("Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString", config);
    

    이 코드 예제에서는 연결 문자열을 사용하는 방법을 보여 줍니다. 연결 문자열을 사용하는 방법에 대한 자세한 내용은 연결 문자열을 구성하는 방법을 참조하십시오.

  6. 프로젝트를 저장하고 빌드한 다음 응용 프로그램을 배포합니다.


출처 : msdn.microsoft.com

Trackback 0 Comment 0
2011.09.09 19:34

POST EXPLOITATION COMMAND LISTS

I've had a private list of commands that I run on Windows or Linux when I pop a shell, as I'm sure most pentesters do. It isn't so much a thing of hoarding as much it is just jumbled notes that are 'not worth posting'

Well, I made two (now 3) public google docs (anyone can edit) *don't be a dick clause

Linux/Unix/BSD Post Exploitation:

https://docs.google.com/document/d/1ObQB6hmVvRPCgPTRZM5NMH034VDM-1N-EWPRz2770K4/edit?hl=en_US

Windows Post Exploitation:

https://docs.google.com/document/d/1U10isynOpQtrIK6ChuReu-K1WHTJm4fgG3joiuz43rw/edit?hl=en_US

and newly added OSX Post Exploitation:

https://docs.google.com/document/d/10AUm_zUdAQGgoHNo_eS0SO1K-24VVYnulUD2x3rJD3k/edit?hl=en_US

Both have filled out A LOT since I first posted them but if you have that one trick command you'd like to share or just want to copy/print the list for your own uses, thats fine too. I plan to keep these publicly editable as long as people obey the DBAD clause.

If you don't know any cool commands but happen to be a tech writer and can make it look beautiful, then great! Please do. There are tables at the bottom that I want to move everything to, or something like it, but if you can do it better...

Anyways, look forward to seeing how this thing grows.


Trackback 0 Comment 0
2011.04.19 11:01

윈도우 커멘드라인 명령 패킷 스니퍼 RawCap

RawCap is a free command line network sniffer for Windows that uses raw sockets.


Properties of RawCap:

  • Can sniff any interface that has got an IP address, including 127.0.0.1 (localhost/loopback)
  • RawCap.exe is just 17 kB
  • No external libraries or DLL's needed other than .NET Framework 2.0
  • No installation required, just download RawCap.exe and sniff
  • Can sniff most interface types, including WiFi and PPP interfaces
  • Minimal memory and CPU load
  • Reliable and simple to use 


Usage

You will need to have administrator privileges to run RawCap.

F:\Tools>RawCap.exe --help
NETRESEC RawCap version 0.1.2.0
http://www.netresec.com

Usage: RawCap.exe <interface_nr> <target_pcap_file>

 0.     IP        : 192.168.0.17
        NIC Name  : Local Area Connection
        NIC Type  : Ethernet

 1.     IP        : 192.168.0.47
        NIC Name  : Wireless Network Connection
        NIC Type  : Wireless80211

 2.     IP        : 90.130.211.54
        NIC Name  : 3G UMTS Internet
        NIC Type  : Ppp

 3.     IP        : 192.168.111.1
        NIC Name  : VMware Network Adapter VMnet1
        NIC Type  : Ethernet

 4.     IP        : 192.168.222.1
        NIC Name  : VMware Network Adapter VMnet2
        NIC Type  : Ethernet

 5.     IP        : 127.0.0.1
        NIC Name  : Loopback Pseudo-Interface
        NIC Type  : Loopback

Example: RawCap.exe 0 dumpfile.pcap

An alternative to supplying the interface number is to supply the IP address of the prefered interface instead, i.e. like this:

RawCap.exe 192.168.0.17 dumpfile.pcap

Interactive Console Dialog

You can also start RawCap without any arguments, this will leave you with an interactive dialog:

F:\Tools>RawCap.exe
Network interfaces:
0.     192.168.0.17    Local Area Connection
1.     192.168.0.47    Wireless Network Connection
2.     90.130.211.54   3G UMTS Internet
3.     192.168.111.1   VMware Network Adapter VMnet1
4.     192.168.222.1   VMware Network Adapter VMnet2
5.     127.0.0.1       Loopback Pseudo-Interface
Select network interface to sniff [default '0']: 1
Output path or filename [default 'dumpfile.pcap']:
Sniffing IP : 192.168.0.47
File        : dumpfile.pcap
Packets     : 1337

Raw sockets limitations in Vista and Win7

Due to current limitations in the raw sockets implementations for Windows Vista and Windows 7 we suggest running RawCap on Windows XP. The main problem with raw socket sniffing in Vista and Win7 is that you might not receive either incoming packets (Win7) or outgoing packets (Vista).

Download RawCap

You can download RawCap.exe here.


Trackback 0 Comment 0