312-49v9 문제 6
다음 중 테스터가 맬웨어 동작을 분석하기 위해 선택해야 하는 설정은 무엇입니까?
312-49v9 문제 7
아래 스크린샷에서 mysql-bin.000013 파일의 16진수 표현을 분석합니다. 다음 중 이 분석에서 추론할 수 있는 것은?
312-49v9 문제 8
컴퓨터 포렌식은 언제 사용하는 것이 적절합니까?
312-49v9 문제 9
IP 172.16.1.108로 배포된 허니팟이 공격자에 의해 손상되었습니다.
아래는 공격에 대한 Snort 바이너리 캡처에서 발췌한 내용입니다. 로그를 조사하여 공격자가 수행한 활동을 해독합니다. 발췌문에 명시되어 있는 내용만 추론해야 합니다.
(참고: 학생은 수동 OS 지문, 기본 TCP/IP 연결 개념 및 스니프 덤프에서 패킷 서명을 읽는 기능 중에 배운 개념에 대해 테스트를 받고 있습니다.)
0 3/15-20:21:24.107053 211.185.125.124:3500 -> 172.16.1.108:111
TCP TTL:43 TOS:0x0 ID:29726 IpLen:20 DgmLen:52 DF
***A**** 시퀀스: 0x9B6338C5 승인: 0x5820ADD0 승: 0x7D78 TcpLen: 32
TCP 옵션(3) => NOP NOP TS: 23678634 2878772
= +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+=+=+=+=+=+=+
+
0 3/15-20:21:24.452051 211.185.125.124:789 -> 172.16.1.103:111
UDP TTL:43 TOS:0x0 ID:29733 IpLen:20 DgmLen:84
렌: 64
01 0A 8A 0A 00 00 00 00 00 00 00 02 00 01 86 A0 .......
00 00 00 02 00 00 00 03 00 00 00 00 00 00 00 00 ............
00 00 00 00 00 00 00 00 00 01 86 B8 00 00 00 01 ............
00 00 00 11 00 00 00 00 ...........
= +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+=+=+=+=+=+=+
+
03/15-20:21:24.730436 211.185.125.124:790 -> 172.16.1.103:32773
UDP TTL:43 TOS:0x0 ID:29781 IpLen:20 DgmLen:1104
렌: 1084
47 F7 9F 63 00 00 00 00 00 00 00 02 00 01 86 B8 G..c............
00 00 00 01 00 00 00 01 00 00 00 01 00 00 00 20 ...........
3A B1 5E E5 00 00 00 09 6C 6F 63 61 6C 68 6F 73 :.^.....localhost
= +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+=+=+=+=+=+=+
+ =+=+
03/15-20:21:36.539731 211.185.125.124:4450 -> 172.16.1.108:39168
TCP TTL:43 TOS:0x0 ID:31660 IpLen:20 DgmLen:71 DF
***AP*** 시퀀스: 0x9C6D2BFF 승인: 0x59606333 승: 0x7D78 TcpLen: 32
TCP 옵션(3) => NOP NOP TS: 23679878 2880015
6 3 64 20 2F 3B 20 75 6E 61 6D 65 20 2D 61 3B 20cd /; 우나메 -a;
6 9 64 3B 아이디;
아래는 공격에 대한 Snort 바이너리 캡처에서 발췌한 내용입니다. 로그를 조사하여 공격자가 수행한 활동을 해독합니다. 발췌문에 명시되어 있는 내용만 추론해야 합니다.
(참고: 학생은 수동 OS 지문, 기본 TCP/IP 연결 개념 및 스니프 덤프에서 패킷 서명을 읽는 기능 중에 배운 개념에 대해 테스트를 받고 있습니다.)
0 3/15-20:21:24.107053 211.185.125.124:3500 -> 172.16.1.108:111
TCP TTL:43 TOS:0x0 ID:29726 IpLen:20 DgmLen:52 DF
***A**** 시퀀스: 0x9B6338C5 승인: 0x5820ADD0 승: 0x7D78 TcpLen: 32
TCP 옵션(3) => NOP NOP TS: 23678634 2878772
= +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+=+=+=+=+=+=+
+
0 3/15-20:21:24.452051 211.185.125.124:789 -> 172.16.1.103:111
UDP TTL:43 TOS:0x0 ID:29733 IpLen:20 DgmLen:84
렌: 64
01 0A 8A 0A 00 00 00 00 00 00 00 02 00 01 86 A0 .......
00 00 00 02 00 00 00 03 00 00 00 00 00 00 00 00 ............
00 00 00 00 00 00 00 00 00 01 86 B8 00 00 00 01 ............
00 00 00 11 00 00 00 00 ...........
= +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+=+=+=+=+=+=+
+
03/15-20:21:24.730436 211.185.125.124:790 -> 172.16.1.103:32773
UDP TTL:43 TOS:0x0 ID:29781 IpLen:20 DgmLen:1104
렌: 1084
47 F7 9F 63 00 00 00 00 00 00 00 02 00 01 86 B8 G..c............
00 00 00 01 00 00 00 01 00 00 00 01 00 00 00 20 ...........
3A B1 5E E5 00 00 00 09 6C 6F 63 61 6C 68 6F 73 :.^.....localhost
= +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+=+=+=+=+=+=+
+ =+=+
03/15-20:21:36.539731 211.185.125.124:4450 -> 172.16.1.108:39168
TCP TTL:43 TOS:0x0 ID:31660 IpLen:20 DgmLen:71 DF
***AP*** 시퀀스: 0x9C6D2BFF 승인: 0x59606333 승: 0x7D78 TcpLen: 32
TCP 옵션(3) => NOP NOP TS: 23679878 2880015
6 3 64 20 2F 3B 20 75 6E 61 6D 65 20 2D 61 3B 20cd /; 우나메 -a;
6 9 64 3B 아이디;
312-49v9 문제 10
다음 레지스트리 하이브 중 시스템에서 다양한 파일을 여는 데 사용된 응용 프로그램에 대한 구성 정보를 제공하는 것은 무엇입니까?