EC0-349 문제 26
다음 발췌문은 허니팟 로그에서 발췌한 것입니다. 이 로그는 3일간의 활동을 포착합니다.
침입 시도가 여러 차례 있었지만, 그 중 몇몇은 성공했습니다.
(참고: 이 질문의 목적은 학생이 로그 항목에서 기본 정보를 읽고 공격의 특성을 해석할 수 있는지 테스트하는 것입니다.) 4월 24일 14:46:46 [4663]: spp_portscan: 다음에서 포트스캔이 감지되었습니다.
194.222.156.169
4월 24일 14:46:46 [4663]: IDS27/FIN 스캔: 194.222.156.169:56693 ->
172.16.1.107:482
4월 24일 18:01:05 [4663]: IDS/DNS 버전 쿼리: 212.244.97.121:3485 ->
172.16.1.107:53
4월 24일 19:04:01 [4663]: IDS213/ftp-passwd-retrieval:
194.222.156.169:1425 -> 172.16.1.107:21
4월 25일 08:02:41 [5875]: spp_portscan: PORTSCAN이 다음에서 감지되었습니다.
24.9.255.53
4월 25일 02:08:07 [5875]: IDS277/DNS 버전 쿼리: 63.226.81.13:4499 ->
172.16.1.107:53
4월 25일 02:08:07 [5875]: IDS277/DNS 버전 쿼리: 63.226.81.13:4630 ->
172.16.1.101:53
4월 25일 02:38:17 [5875]: IDS/RPC-rpcinfo-query: 212.251.1.94:642 ->
172.16.1.107:111
4월 25일 19:37:32 [5875]: IDS230/web-cgi-space-wildcard:
198.173.35.164:4221 -> 172.16.1.107:80
4월 26일 05:45:12 [6283]: IDS212/dns-zone-transfer: 38.31.107.87:2291 ->
172.16.1.101:53
4월 26일 06:43:05 [6283]: IDS181/nops-x86: 63.226.81.13:1351 ->
172.16.1.107:53
4월 26일 06:44:25 victim7 PAM_pwdb[12509]: (로그인) 세션이 열렸습니다.
사용자 간단 (uid=0)
4월 26일 06:44:36 victim7 PAM_pwdb[12521]: (su) 사용자를 위해 세션이 열렸습니다.
simon by simple(uid=506)
4월 26일 06:45:34 [6283]: IDS175/socks-probe: 24.112.167.35:20 ->
172.16.1.107:1080
4월 26일 06:52:10 [6283]: IDS127/telnet-login-incorrect: 172.16.1.107:23
-> 213.28.22.189:4558
아래에 주어진 옵션 중에서 다음 항목을 가장 잘 해석하는 것을 선택하세요.
4월 26일 06:43:05 [6283]: IDS181/nops-x86: 63.226.81.13:1351 ->
172.16.1.107:53
침입 시도가 여러 차례 있었지만, 그 중 몇몇은 성공했습니다.
(참고: 이 질문의 목적은 학생이 로그 항목에서 기본 정보를 읽고 공격의 특성을 해석할 수 있는지 테스트하는 것입니다.) 4월 24일 14:46:46 [4663]: spp_portscan: 다음에서 포트스캔이 감지되었습니다.
194.222.156.169
4월 24일 14:46:46 [4663]: IDS27/FIN 스캔: 194.222.156.169:56693 ->
172.16.1.107:482
4월 24일 18:01:05 [4663]: IDS/DNS 버전 쿼리: 212.244.97.121:3485 ->
172.16.1.107:53
4월 24일 19:04:01 [4663]: IDS213/ftp-passwd-retrieval:
194.222.156.169:1425 -> 172.16.1.107:21
4월 25일 08:02:41 [5875]: spp_portscan: PORTSCAN이 다음에서 감지되었습니다.
24.9.255.53
4월 25일 02:08:07 [5875]: IDS277/DNS 버전 쿼리: 63.226.81.13:4499 ->
172.16.1.107:53
4월 25일 02:08:07 [5875]: IDS277/DNS 버전 쿼리: 63.226.81.13:4630 ->
172.16.1.101:53
4월 25일 02:38:17 [5875]: IDS/RPC-rpcinfo-query: 212.251.1.94:642 ->
172.16.1.107:111
4월 25일 19:37:32 [5875]: IDS230/web-cgi-space-wildcard:
198.173.35.164:4221 -> 172.16.1.107:80
4월 26일 05:45:12 [6283]: IDS212/dns-zone-transfer: 38.31.107.87:2291 ->
172.16.1.101:53
4월 26일 06:43:05 [6283]: IDS181/nops-x86: 63.226.81.13:1351 ->
172.16.1.107:53
4월 26일 06:44:25 victim7 PAM_pwdb[12509]: (로그인) 세션이 열렸습니다.
사용자 간단 (uid=0)
4월 26일 06:44:36 victim7 PAM_pwdb[12521]: (su) 사용자를 위해 세션이 열렸습니다.
simon by simple(uid=506)
4월 26일 06:45:34 [6283]: IDS175/socks-probe: 24.112.167.35:20 ->
172.16.1.107:1080
4월 26일 06:52:10 [6283]: IDS127/telnet-login-incorrect: 172.16.1.107:23
-> 213.28.22.189:4558
아래에 주어진 옵션 중에서 다음 항목을 가장 잘 해석하는 것을 선택하세요.
4월 26일 06:43:05 [6283]: IDS181/nops-x86: 63.226.81.13:1351 ->
172.16.1.107:53
EC0-349 문제 27
존은 캐나다의 컨설팅 회사에서 컴퓨터 포렌식 조사관으로 일하고 있습니다. 그는 지역 웹 카페에서 컴퓨터를 압수하라는 요청을 받았습니다. 존은 캐나다의 컨설팅 회사에서 컴퓨터 포렌식 조사관으로 일하고 있습니다. 그는 봇넷 서버로 사용되는 것으로 알려진 지역 웹 카페에서 컴퓨터를 압수하라는 요청을 받았습니다. 존은 컴퓨터를 철저히 검사했지만 컴퓨터가 봇넷 서버라고 생각할 만한 것은 아무것도 찾지 못했습니다. 존은 자신이 놓친 것을 찾기 위해 컴퓨터의 가상 메모리를 검사하기로 결정했습니다. 가상 메모리 검사에서 어떤 정보가 생성될까요?
EC0-349 문제 28
항목 2 고객 현장에서 양침지 기계를 발견하면 무엇을 추론하시겠습니까?
EC0-349 문제 29
다음 명령은 Windows의 어떤 기능을 활용하려고 하는 것입니까?
EC0-349 문제 30
파일 서명 분석은 파일의 __________에서 정보를 수집하여 파일의 유형과 기능을 확인하는 것을 포함합니다.