띵이 나침반

출처: 윈도우 XP 서버 정전 후 자동 재부팅 문제 문의(http://www.diskool.com/1162530)

모든 메인보드에 있는 기능은 아니라고 함 (일부 메이커용 PC 제외)

1) BIOS Setup의 Power => Restore on AC Power Loss 옵션 활용하기
=> Power Off 를 On 시키기

2) Power Management Setup => After AC Power Lost-ON 
3가지 선택 옵션이 있음(Off, On, 마지막 상태값)

데스크탑PC로 서버 운영한다면, 무조건 On 시켜두는게 정신건강에 도움이 될 듯 함. 

1) FreeWheel 2.4

저는 현재 Chrome Plus (1.5.2.0) 사용 중

검색 질의어: 대기유형 PAGEIOLATCH_EX

********** 튜닝의 절차
http://databaser.net/moniwiki/wiki.php/%ED%8A%9C%EB%8B%9D%EC%9D%98%EC%A0%88%EC%B0%A8

********** PageIOLatch 관한 짧은 내용
http://blog.naver.com/PostView.nhn?blogId=hrk007&logNo=60062365512&viewDate=&currentPage=1&listtype=0

출처: 윈도우 해킹피해 시스템 분석 - 초기분석(http://blog.pages.kr/179)

출처 : http://www.dduri.net/blog/
참조 : 사례로 배우는 해킹사고 분석&대응(영진닷컴)

백업

먼저 젤로 중요한 백업이죠. 해킹당했으면 그걸 bit단위로 제대로 백업해서 다른데 풀어서 하는게 좋죠..

백업하는데 필요한 도구들은 우리가 많이 쓰는 netcat(가볍지만 정말 유용한 프로그램입니다.)과 dd(리눅스에선 내장되어 있던데)입니다.

netcat -> http://www.atstake.com/ 다운로드 http://www.searchlore.org/aznetcat.htm(예제)

dd -> http://unxutils.sourceforge.net/ 다운로드 dd뿐만이 아니라 리눅스에서 유용하게 쓰였는데 윈도우에 없는 명령어들이 많이 담겨 있습니다. 위 사이트 참조

위 두개의 명령어로 사용한 예제

분석 시스템(192.168.1.1)
2002/tcp 포트로 들어오는 데이터를 backup.img로 저장한다.

cmd>nc -l -p 2002 > backup.img

피해 시스템(192.168.1.2)
cmd>dd if=.C: | nc 192.168.1.1 2002

이렇게 하면 dd로 이미지 뜬게 | 다음의 입력이 되서 분석 시스템이 저장이 됩니다.

시스템기본정보

psinfo -> http://www.sysinternal.com/ 다운로드 프로세서 정보를 보는 많은 파일들이 있습니다. 그리고 저 사이트에 그외 유용한 툴들도 많이 있으니 한번씩 보시기 바랍니다.

예제)
cmd>psinfo -h -s -d //-h는 핫픽스, -s는 설치소프트웨어, -d디스크 볼륨정보 옵션
cmd>psloggedon //현재사용자 로그인정보
cmd>pslist //프로세서 정보

네트웍정보

cmd> ipconfig /all //윈도우 명령어(아이피 보기)
cmd>net sess //윈도우 명령어(현재 접속한 세션보기)
cmd>nbtstat -c //윈도우 명령어(NetBIOS 테이블정보보기)
cmd>arp -a //윈도우 명령어(하드웨어주소 보기)
cmd>route print //윈도우 명령어(라우팅 테이블보기)
cmd>net share //윈도우 명령어(공유자원보기)
cmd>netstat -an //윈도우 명령어(현재 연결정보)

포트별서비스정보

fport -> 다운로드 포트별로 연결된 프로그램을 볼수 있습니다.

스니퍼실행여부확인

보통 NIC에 promiscuous 모드로 동작하는걸 보는데 윈도우에선 툴이 필요합니다. 리눅스같은 경우 그냥 ifconfig해서 PROMISC 뜨는거 보기만 하면되느뎅 ^^

promiscdete -> http://ntsecurity.nu/toolbox/promiscdetect/ 다운로드

예제)
cmd>promiscdetct //그냥 한번만 돌려보고 나온문구 보시면 됩니다.

사용자/그룹정보

cmd>net user //윈도우 명령어(사용자정보보기)
cmd>net localgroup 그룹명 //윈도우 명령어(그룹정보보기)

로컬서비스정보

cmd>net start //윈도우 명령어(현재 시작중인 서비스보기)

DLL 정보

listdlls -> http://www.sysinternals.com/ 다운로드

예제)
cmd>listdlls //관련된 DLL을 모두 뿌려준다.
cmd>listdlls 프로세서번호 | more //pslist에서 프로세서를 찾아서 관련 프로세서와 연관된 dll을 모두 뿌려준다.

핸들 정보

핸들은 프로그램이 실행되면서 참조되는 시스템 자원 사용 정보입니다.

handle -> http://www.sysinternals.com/ 다운로드

예제)
cmd>handle //프로세서와 관련된 핸들정보를 모두 뿌려준다.

열려진 정보 스캐닝

포트스캔을 흔히 말하며 nmap(http://www.nmap.org)라는 프로그램을 많이 사용한다.


위의 내용들을 하나의 배치파일로 묶어서 스크립트로 만들면 효율적일 것이다. 여기다 더 netcat를 이용하여 받으면 금상첨화겠죠?.. 이내용은 전부 책에 나와있는 내용을 요약한겁니다.

이제 위 스크립트를 직접 만들지 않고 만들어진 도구를 아래에서 설명합니다.

자동화된 스크립트 도구

Biatchux(F.I.R.E.) -> http://biatchux.dmzs.com/(다운로드주소)
http://www.securitymap.net/sp/docs/Biatchux_0.4a.pdf(설치메뉴얼)

위 프로그램은 CD롬으로도 부팅 가능하게 되어있습니다.

IRCR(Incident Response Collection Report) -> http://packetstormsecurity.nl/Win/IRCR.zip

위 프로그램은 Biatchux 툴킷내에도 포함되어 있습니다.(쉽게 사용할수 있다네요..) 위의 두 프로그램은 사용해보지 않았습니다. ^^

위의 내용들은 초기분석 작업들입니다. 뒤에 상세분석 내용이 있는데 올릴수 있을려나 모르겠네요 ^^

참고로 여기 모든 툴은 제가 한번씩 받아서 돌려봤습니다.
환경은 Windows 2000 프로페셔널에서 돌렸습니다.

유닉스용 해킹피해 분석을 실제로 해볼려면 http://www.sis.or.kr로 가서 해보길 바랍니다. 모든 단계를 클리어하면 상품도 준답니당..

관리방어공간은 방어하는거고 침해관리공간은 피해시스템 분석해서 대처하는 겁니당... 지금 관리방어 끝나고 침해관리 하는중 ^^

출처 : http://www.databasejournal.com/features/mssql/article.php/3379901/Moving-the-Tempdb-and-Master-Database-in-SQL-Server.htm

use master
go
Alter database tempdb modify file (name = tempdev, filename = 'E:\Sqldata\tempdb.mdf')
go
Alter database tempdb modify file (name = templog, filename = 'E:\Sqldata\templog.ldf')
Go

SQL 서버를 설치하면 기본 설치 드라이브에 tempdb를 생성하는데,
tempdb를 많이 쓰는 프로그램에서 설치 드라이브의 공간을 모두 사용하게 되어, 시스템이 느려지는 등의 예기치 못한 상황이 발생함
=> 조치사항. 추가로 장착한 하드디스크에 tempdb를 옮겨주는 작업을 진행 함

암튼.. 위에처럼 작업 후, SQL서버를 재시작을 해주면 tempdb 위치가 변경됨
(단, 기존 tempdb 폴더에 있던 mdf/ldf는 삭제되지 않으므로 직접가서 삭제하세요.)

PS. 예전에 MS사 DB 서버의 셋팅 환경을 정보를 인터넷으로 본적이 있는데,
거기는 운영체제 Disk와 tempdb Disk, 실운영 DB가 있는 Disk를 별도로 구동하고 있었다.
각자 하는 용도가 다르니 Disk를 분리하여 운영함. 백업용 Disk도 별도 구성하여 사용한것으로 봄

administrator 암호 분실시 해결책
http://www.comforever.com/bbs/windowsXP/5174

인터넷 익스플로러나 아웃룩 본문을 원노트 2003으로 가져오기
http://onenote.tistory.com/31

Microsoft Security Essentials를 설치하면,
Microsoft SpyNet으로 자동으로 보고서가 전송이 되는데, 이부분을 차단하는 것이 적용되어 있다.

1) 레지스트리 변경방법
2) Hosts를 변경하는 방법

http://www.malwarehelp.org/how-to-block-microsoft-spynet-2009.html

PS. Windows Defender는 보고서 전송기능을 끌수 있던데.. 백신은 왜 끄는 옵션이 없을까요..

블루투스 장치를 사용하고 있을경우, 바탕화면 하단에 알림을 설정할 수 있습니다.
=========================================================
http://forum.notebookreview.com/showthread.php?t=106738
=========================================================
Re: Caps lock on/off on-screen display
---------------------------------------------------------
Huge kick.

The notification is caused by a process called bttray.exe.
Killing it might fix the problem, but it'll break down you BT (or at least partially).

The solution is to edit this value in the registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Widcomm\BTConfig\General\KeyIndication

Change it from 1 to 0. Reboot.

I doubt anyone will ever be bothered enough to find my solution, but hey, at least there is a solution .
---------------------------------------------------------

간단히 정리하면,
블루투스 장치가 설치가되면, bttray.exe 실행파일이 작업관리자에 실행됩니다.
위 화면처럼 바탕화면 하단에 알림을 알리고 싶으시면 아래의 레지스트리를 수정하시면 됩니다.
(레지스트리에 아래의 key가 없다면 pc에 블루투스를 이용할 수 있는지 확인해보세요.)

HKEY_LOCAL_MOCHINE\SOFTWARE\Widcomm\BTconfig\General

REG_DWORD
KeyIndication => 1 (Toggle Key 변경 알림 On)
KeyIndication => 0 (Toggle Key 변경 알림 Off)

MSSQL CTE 재귀, 트리구조 쿼리구현
http://programmers.tistory.com/339

ㅠㅠ 어렵다.

IT관련 블로그입니다. (모두 유명하신 분들이므로 블로그 내용은 생략합니다.)

* 촌철살인(寸鐵殺人) http://blog.naver.com/hahaj1
* 스누피님 http://www.snoopybox.co.kr

개인용도.

회사에서 사용할 만한 백신으로 이런저런 검색하다..

알게된 Microsoft Security Essentials(베타버전)처음 설치할땐 메모리 점유(실시간 메모리 점유 ~15MB)만 보고 너무 행복하여, 기존에 쓰던 NoAD2(실시간 메모리 점유 ~30MB) 를 지우고 바로 설치하였으나..

씨피유 : Pentium 4D - 3.0GHz
메모리 : 2GByte

종종 압축파일 해제 할때의 엄청난 기다림에.. 혹시나 하고 실시간 감시 기능을 해제하니 백신의 문제인것을 알았습니다.
다시 V3 Lite로 다시 넘어와서 테스트 중..

[Microsoft Security Essentials 정식 홈페이지] 아직 한국어로 서비스하지 않고 있습니다.
http://www.microsoft.com/security_essentials/support.aspx?mkt=en-us

[케이벤치]마이크로소프트 무료 백신 정식 공개
http://www.kbench.com/hardware/?no=74213&sc=1

[출처] XP에 네트워크 공유 접근시 기본계정이 Guest로만 고정되는 경우 (http://myoung76.tistory.com/119)

시작 -> 제어판 -> 관리도구 -> 로컬 보안 정책 secpol.msc

수정 전 : 게스트 전용 - 로컬 사용자를 게스트로 인증
수정 후 : 일반 - 로컬 사용자를 그대로 인증

PS. SQL Server 2005 Database 에서도 테스트 하였습니다.
쿼리결과를 "텍스트로 결과 표시"로 하셔서 보시기 바랍니다.

[출처 : http://cafe.naver.com/devcore/70]

어떤 프로세스에 락(lock)이 걸려있는지, 그 프로세스에 대한 정보 및 어떤 테이블이 블록킹
당했는지 등을 보여주는 스크립트이다. 이 스크립트는 SQL 서버 7.0과 2000에서 테스트되었다.
이 SQL 스크립트는 다음과 같다.

 
Print 'Server and datetime of report'
select @@servername, getdate()
 
Print 'This will tell you which processes are causing the database blocking on the server.'
Print ''
Print 'If you need to kill any processes, use these spid''s. Make sure you save the report before killing any processes.'
Print ''
set nocount on
SELECT * FROM master..sysprocesses where spid IN (select blocked from master..sysprocesses) and blocked = 0
 
Print 'Below this is a snapshot of all the SQL processes on the server.'
Print 'Save the report and send to the whole database group.'
Print ''
SELECT * FROM master..sysprocesses
 
Print 'These are the queries are causing the blocks.'
Print ''
 
DECLARE @spid int
DECLARE SPID_CURSOR CURSOR FOR 
SELECT spid
FROM master..sysprocesses 
WHERE spid IN ( select blocked 
                from master..sysprocesses) 
AND blocked = 0
FOR READ ONLY
 
OPEN SPID_CURSOR
 
FETCH SPID_CURSOR INTO @spid
 
WHILE @@fetch_status <> -1
BEGIN
        IF @@fetch_status <> -2
        BEGIN
        SELECT '@spid = ' + CONVERT(varchar(20),@spid)
        DBCC INPUTBUFFER (@spid)
        END
        FETCH SPID_CURSOR INTO @spid
END
CLOSE SPID_CURSOR
 
DEALLOCATE SPID_CURSOR
Print 'These are the processes that are being blocked:'
Print ''
SELECT spid FROM master..sysprocesses where blocked <> 0
 
SELECT @spid = NULL
 
Print 'This is the lock info for the blocking processes.'
Print ''
 
        select  convert (smallint, req_spid) As spid, 
                rsc_dbid As dbid, 
                rsc_objid As ObjId,
                
                rsc_indid As IndId,
                substring (v.name, 1, 4) As Type,
                substring (rsc_text, 1, 16) as Resource,
                substring (u.name, 1, 8) As Mode,
                substring (x.name, 1, 5) As Status
        into #BlockerLockInfo
        
        from    master.dbo.syslockinfo,
                master.dbo.spt_values v,
                master.dbo.spt_values x,
                master.dbo.spt_values u
        where   master.dbo.syslockinfo.rsc_type = v.number
                        and v.type = 'LR'
                        and master.dbo.syslockinfo.req_status = x.number
                        and x.type = 'LS'
                        and master.dbo.syslockinfo.req_mode + 1 = u.number
                        and u.type = 'L'
                        and req_spid in (select spid from master..sysprocesses where blocked = 0 and spid IN (select blocked from master..sysprocesses))
 
DECLARE @dbid int,
        @sqlstring nvarchar(255)
 
DECLARE DBIDcursor CURSOR FOR 
SELECT DISTINCT dbid 
FROM #BlockerLockInfo
order by dbid
--SELECT *
--FROM #BlockerLockInfo
 
OPEN DBIDcursor
 
FETCH DBIDcursor INTO @dbid
 
WHILE @@fetch_status <> -1
BEGIN
        IF @@fetch_status <> -2
        BEGIN
        
        SELECT @sqlstring = N'SELECT #BlockerLockInfo.*, a.name FROM #BlockerLockInfo , '+name+'..sysobjects a  WHERE dbid =@dbid AND #BlockerLockInfo.ObjID = a.id ORDER BY spid' from master..sysdatabases where dbid = @dbid
        --SELECT @sqlstring     
        EXEC sp_executesql @sqlstring, N'@dbid int', @dbid
        END
        FETCH DBIDcursor INTO @dbid
 
END
CLOSE DBIDcursor
DEALLOCATE DBIDcursor
drop table #BlockerLockInfo

[출처 : http://korea.internet.com - 테크]

무료	AcroEdit (한국어 지원)	http://www.acrosoft.pe.kr
무료	Crimson Editor	http://www.crimsoneditor.com
무료	DesyEdit	http://www.desyedit.com
무료	Notepad++	http://notepad-plus.sourceforge.net
유료	Editplus (한국어 지원)	http://www.editplus.com/
유료	Emeditor (한국어 지원)	http://www.emeditor.com/

자기가 편하게 사용하는 에디터를 사용하세요~
Editplus 와 AcroEdit를 섞어서.. 씁니다.

이벤트 ID: 1001  원본: COM+  종류: 경고
http://www.wssplex.net/QnA/EventId.aspx?No=213

A change in the functionality of COM+ in Windows Server 2003 to support automatic collection of a process dump file and process termination
http://support.microsoft.com/kb/910904/en-us

sp_tables
select name from sysobjects where type='U'

-- 테이블 리스트
select * from information_schema.tables

-- 컬럼 상세 정보
select * from information_schema.columns
where table_name = '테이블명'
order by 5

http://blog.naver.com/nuryee/70015323602
숫자를 텍스트로 변환하는 3가지 방법

이 문서는 MrExcel.com에서 발췌한 것입니다. 자세한 팁과 정보를 보려면 MrExcel.com 웹 사이트(영어)를 방문하십시오. [출처] [엑셀]숫자를 텍스트로 변환하는 3가지 방법|작성자 누리

netstat -bn
현재 내가 사용중인 프로그램의 접속지IP와 포트번호를 알수 있는방법


nbtstat -a (IP)
IP가 충돌이 났을때, 상대방 컴퓨터명을 알 수 있는 방법.

멀쩡히 잘 발송되던 메일이..
5월 19일(화) - 핫메일(Hotmail) 부터 해서 메일이 송신이 되지않았습니다.
5월 20일(수) - 몇몇 고객사에 메일이 발송이 중지됨
                    553 [Sniper]Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=xxx.xxx.xxx.xxx

-> 조치사항
1) 리버스도메인 등록 - KT 도메인 관리팀에 신청 (제대로 전파되려면 약 3시간소요)
2) http://cbl.abuseat.org 걸러진 IP에 대해서 스팸 해제 요청 ㅠㅠ (다음에도 걸리면 큰일인데..)

다행히, Hotmail로의 접속 테스트(telnet mail.hotmail.com 25)에서는 차단없이 진행되는데..
메일서버에서 발송하면 메일이.. 않들어오는 불행이..

아.. 우여곡절 끝에.. 해제는 했는데..

-- 유지보수 맺지않고 나혼자 삽질은 어려워~

더보기