Feccle 의 IT자료 모음

Ⅰ. YARA(Yet Another Recursive Acronym) 란? 2013년 VirusTotal의 Victor Alvarez가 개발한 오픈소스 기반의 정교한 패턴 매칭 엔진입니다. 파일 안의 바이너리/텍스트 패턴, 문자열, 정규식 등을 기반으로 조건을 정의하여 악성코드를 탐지하는 오픈소스 도구이며, 2025년 기준 최신 버전 4.4는 PE/ELF 파일 분석, Cuckoo 샌드박스 통합, 머신러닝 기반 패턴 최적화 기능을 지원하며, 전 세계 보안 기관의 97%가 악성코드 분석 표준 도구입니다.Ⅱ. YARA(Yet Another Recursive Acronym) 규칙구조ⅰ. 규칙 구성 체계rule Advanced_Malware_Detection_2025 { meta: aut..

Ⅰ. /var/log/secure 이란? 리눅스 시스템에서 주로 시스템의 보안 관련 이벤트를 기록하는 로그 파일로, 사용자 인증, 권한 상승, SSH 접속, sudo 명령 실행 등 중요한 보안 활동의 상세 내역을 담고 있습니다. 이 로그는 시스템 관리자와 보안 전문가가 시스템의 무결성, 이상 징후, 침입 시도를 감지하는 데 핵심적인 역할을 하며, 로그의 내용과 구조를 이해하는 것은 보안 사고 대응과 감사 활동에 필수적입니다.Ⅱ. /var/log/secure 로그의 기본 특성ⅰ. 파일 위치 및 권한 1) 경로: /var/log/secure (RHEL/CentOS 계열) 2) 대체 파일: 데비안 계열에서는 /var/log/auth.log 사용 3) 권한 설정: root 사용자만 읽기 가능(640..

Ⅰ. Tripwire 란? 서버 및 시스템의 파일 무결성을 점검하는 대표적인 오픈소스 보안 도구입니다. 시스템 내 주요 파일과 디렉터리의 해시값(MD5, SHA, CRC-32 등)을 데이터베이스로 저장해두고, 이후 주기적으로 현재 파일 상태와 비교하여 변경, 삭제, 추가 등 무단 변조 여부를 탐지합니다. 이를 통해 해킹, 악성코드 감염, 내부자 위협 등으로 인한 시스템 변조를 신속하게 감지할 수 있습니다. Ⅱ. Tripwire 설치 방법(레드햇(RHEL/CentOS) 기반) ⅰ. EPEL 저장소 추가 기본 저장소에 포함되어 있지 않으므로 EPEL(Extra Packages for Enterprise Linux) 저장소를 먼저 추가해야 합니다. [root@feccle ~] # dnf install -y..

Ⅰ. 라이프키퍼(LifeKeeper) 란? 고가용성(High Availability) 솔루션으로, 서버 장애 시 자동으로 대체 서버(Failover Node)로 서비스를 이관하여 무중단 서비스를 실현합니다. DB 및 파일 서버의 이중화는 장애 발생 시 빠른 복구와 고가용성을 위한 전략입니다. 개발사는 미국의 SIOS Technology 이며, 지원하는 OS는 Linux, Windows 입니다. 주요 이중화 대상은 DB 서버(MySQL, MSSQL, Oracle), 파일 서버(NAS, NFS, Samba), 웹 서버, 가상화 환경(KVM, VMware) 등이 있습니다.Ⅱ. 라이프키퍼(LifeKeeper) 주요 기능 및 구성기능설명Failover/Failback서비스 중단 시 자동으로 Stand by 서버로..

Ⅰ. RSoP(Resultant Set of Policy) 란? Resultant Set of Policy의 약자로, Windows 시스템에서 그룹 정책(GPO, Group Policy Object)이 실제로 시스템에 어떻게 적용되었는지를 분석하고 보여주는 도구입니다. 주로 도메인 환경에서 그룹 정책 충돌, 상속, 필터링 등의 결과를 확인하고 문제를 진단할 때 사용됩니다.Ⅱ. RSoP(Resultant Set of Policy) 핵심 기능 ⅰ. 여러 그룹 정책이 적용된 결과(최종 적용 상태)를 확인 ⅱ. 도메인/OU/로컬 정책 간 충돌 해결에 도움 ⅲ. 그룹 정책 필터링, 보안 그룹, WMI 필터 조건 반영 여부 확인 가능 ⅳ. 정책이 적용되지 않은 이유를 파악할 수 있음Ⅲ. RSoP(Resultant ..

Ⅰ. Windows 작업 관리자(Task Manager) 란? Windows 운영 체제에 기본으로 탑재된 시스템 유틸리티로, 현재 실행 중인 프로세스, 서비스, 응용 프로그램, 그리고 시스템 성능 상태를 실시간으로 모니터링하고 제어할 수 있도록 해주는 도구입니다. 특히 시스템 리소스가 비정상적으로 사용되거나, 응답하지 않는 프로그램을 강제로 종료할 때 필수적으로 사용됩니다. Ⅱ. Windows 작업 관리자(Task Manager) 실행 방법작업 관리자는 다음 중 하나의 방법으로 실행할 수 있습니다: ⅰ. Ctrl + Shift + Esc 키 입력 ⅱ. Ctrl + Alt + Delete → "작업 관리자" ⅲ. 작업 표시줄 마우스 오른쪽 클릭 → "작업 관리자" ⅳ. 실행창(Win + R) → ..

Ⅰ. 파이썬(Python) 이란? 간결하고 읽기 쉬운 문법을 가진 고급 프로그래밍 언어로 강력한 기능을 갖춘 범용 프로그래밍 언어입니다. 데이터 분석, 웹 개발, 인공지능 등 다양한 분야에서 널리 사용됩니다. 1991년 귀도 반 로섬(Guido van Rossum)이 개발했으며, 생산성이 높고 유지보수가 쉬운 코드 작성이 가능하다는 점이 특징입니다.Ⅱ. 파이썬(Python) 주요 특징특징설명간결한 문법영어 문장처럼 읽히는 문법으로 배우기 쉽습니다.인터프리터 언어코드를 한 줄씩 실행하므로 빠르게 테스트하고 수정할 수 있습니다.높은 확장성웹 개발, 데이터 분석, 인공지능, 자동화 등 다양한 분야에 활용됩니다.풍부한 라이브러리pandas, numpy, matplotlib, tensorflow 등 강력한 외부 ..

Ⅰ. BPF Door(Berkeley Packet Filter) 란? 고도화된 리눅스 백도어 악성코드로, 2021년 PWC 위협 보고서를 통해 최초 공개되었습니다. 이 악성코드는 중국 기반 APT 그룹인 Red Menshen(Earth Bluecrow)이 중동 및 아시아 지역을 대상으로 수년간 사용해 왔으며, 최근 한국의 통신업체 해킹 사건에서도 사용된 것으로 확인되었습니다. Ⅱ. BPF 기술과 BPFDoor의 구조 ⅰ. Berkeley Packet Filter (BPF) 기술 유저 모드 프로그램이 네트워크 필터에 연결하여 소켓을 통해 들어오는 데이터를 허용하거나 거부할 수 있게 하는 기술입니다. 원래는 네트워크 패킷 필터링을 위해 만들어진 커널 기술로, 네트워크 트래픽 중 필요한 정보만 빠르게 걸러내..

Ⅰ. NSSM 이란? "Non-Sucking Service Manager"의 약자로, 윈도우 환경에서 일반 애플리케이션(실행 파일, 배치 파일 등)을 윈도우 서비스로 손쉽게 등록하고 관리할 수 있게 해주는 오픈소스 도구입니다. NSSM을 사용하면 서버 프로그램, 콘솔 앱, 백그라운드 작업 등을 윈도우 서비스로 실행할 수 있어, 시스템 부팅 시 자동 시작이나 장애 발생 시 자동 재시작 등 다양한 관리 기능을 활용할 수 있습니다. Ⅱ. NSSM 필요한 이유Windows에서는 일반적으로 서비스 형태로 동작하지 않는 프로그램은 부팅 시 자동 실행되거나 충돌 후 재시작되지 않습니다. nssm은 문제점에 대해 조치 할 수 있습니다. ⅰ) .exe로 배포된 서버 애플리케이션 ⅱ) Node.js, Python, Ja..

Ⅰ. 증상ⅰ) 서버 관리자 실행 시 반응 없음 ⅱ) Windows PowerShell 실행 시 오류 발생 ⅲ) 이벤트 뷰어 실행 시 오류 발생Ⅱ. 원인.Net Framework 4.7 기능 삭제 및 손상 .NET Framework 4.7을 제거하거나 손상시켰을 경우, 다음과 같은 심각한 시스템 오류나 서비스 중단이 발생할 수 있습니다. 아래는 주요 증상과 그에 대한 해결 방법을 상세히 설명한 내용입니다. 2. 해결 방법 ⅰ-1) Windows 기능에서 다시 활성화dism /online /Enable-Feature /all /FeatureName:NetFx4 ⅰ-2) 정상적인 시스템에 있는 ServerManager.exe, ServerManagerLauncher.exe 복사 및 붙여넣기 ⅰ-3) 윈도우..