외규장각 도서 환수 모금 캠페인

Search Results for 'Study/Computer Science'

60 POSTS

  1. 2007.06.13 문자열 비교 - disassemble 2
  2. 2007.06.13 함수 호출과 스택 되돌리기
  3. 2007.06.12 Obfuscated 악성코드 분석 by 혁민 2
  4. 2007.06.11 예외 핸들러 (SEH)
  5. 2007.06.11 레지스트리

문자열 비교 - disassemble

Posted 2007. 6. 13. 16:30, Filed under: Study/Computer Science
// 문자열 비교하는 루틴
00401090                /$  8B4C24 04         MOV ECX,DWORD PTR SS:[ESP+4]
00401094                |.  53                PUSH EBX
00401095                |.  56                PUSH ESI
00401096                |.  8B7424 10         MOV ESI,DWORD PTR SS:[ESP+10]
0040109A                |.  33C0              XOR EAX,EAX
0040109C                |.  2BF1              SUB ESI,ECX                                ;  esi : 비교하려는 두 문자열 사이의 메모리상의 거리

0040109E                |>  8A11              /MOV DL,BYTE PTR DS:[ECX]                  ;  ecx : index
                                                 ---  종료 조건 ---
004010A0                |.  84D2              |TEST DL,DL
004010A2                |.  75 06             |JNZ SHORT Strcmp.004010AA      
004010A4                |.  803C0E 00         |CMP BYTE PTR DS:[ESI+ECX],0
004010A8                |.  74 17             |JE SHORT Strcmp.004010C1
                                      --------------------

004010AA                |>  8A1C0E            |MOV BL,BYTE PTR DS:[ESI+ECX]
004010AD                |.  3AD3              |CMP DL,BL                                 ;  문자 비교
004010AF                |.  7F 05             |JG SHORT Strcmp.004010B6
004010B1                |.  7C 0B             |JL SHORT Strcmp.004010BE
004010B3                |.  41                |INC ECX                                   ;  인덱스 증가
004010B4                |.^ EB E8             \JMP SHORT Strcmp.0040109E
004010B6                |>  5E                POP ESI
004010B7                |.  B8 01000000       MOV EAX,1
004010BC                |.  5B                POP EBX
004010BD                |.  C3                RETN
004010BE                |>  83C8 FF           OR EAX,FFFFFFFF
004010C1                |>  5E                POP ESI
004010C2                |.  5B                POP EBX
004010C3                \.  C3                RETN

ecx : 비교하려는 문자열 중에 하나의 시작 주소를 저장
esi :  비교하려는 두 문자열의 주소값의 차이

이렇게 해놓고 ecx를 증가시키면서 [ecx], [ecx+esi] 의 값을 비교.
아스키 문자열 비교를 위해 DL 레지스터를 사용하여 하위 8비트 값만 사용.

---

악성 코드에서 문자열 비교 루틴을 많이 사용하길래
공부 삼아 한번 해봤는데..;
이건 뭐 구현 언어나 방법에 따라 그 때 그 때 다르니까 크게 소용이 없을 수도 있겠다 ;

언제쯤 제대로 한번 해볼라나 ㅋ

Response : ,

함수 호출과 스택 되돌리기

Posted 2007. 6. 13. 15:19, Filed under: Study/Computer Science
// main 함수 내에서 printf 와 scanf 호출
00401006                |.  68 48804000       PUSH Strcmp.00408048                       ;  ASCII "first string: "
0040100B                |.  E8 D7000000       CALL Strcmp.004010E7          
00401010                |.  83C4 04           ADD ESP,4
00401013                |.  8D4424 00         LEA EAX,DWORD PTR SS:[ESP]
00401017                |.  50                PUSH EAX
00401018                |.  68 44804000       PUSH Strcmp.00408044           ;  ASCII "%s"
0040101D                |.  E8 AE000000       CALL Strcmp.004010D0
00401022                |.  83C4 08           ADD ESP,8
00401025                |.  68 34804000       PUSH Strcmp.00408034                       ;  ASCII "second string: "
0040102A                |.  E8 B8000000       CALL Strcmp.004010E7
0040102F                |.  83C4 04           ADD ESP,4

C 스타일의 함수( __ cdecl )  호출 시 스택은 호출한 쪽에서 되돌려주며 이를 위해 ESP 레지스터에 ADD 연산을 수행한다.

// CopyFile API
77E5E4C1 >  55              PUSH    EBP
77E5E4C2    8BEC            MOV     EBP, ESP
77E5E4C4    51              PUSH    ECX
77E5E4C5    51              PUSH    ECX
77E5E4C6    56              PUSH    ESI
77E5E4C7    FF75 08         PUSH    DWORD PTR SS:[EBP+8]
77E5E4CA    E8 D2680000     CALL    KERNEL32.77E64DA1
77E5E4CF    8BF0            MOV     ESI, EAX
77E5E4D1    85F6            TEST    ESI, ESI
77E5E4D3    0F84 B0240200   JE      KERNEL32.77E80989
77E5E4D9    FF75 0C         PUSH    DWORD PTR SS:[EBP+C]
77E5E4DC    8D45 F8         LEA     EAX, DWORD PTR SS:[EBP-8]
77E5E4DF    50              PUSH    EAX
77E5E4E0    E8 C5A20000     CALL    KERNEL32.77E687AA
77E5E4E5    85C0            TEST    EAX, EAX
77E5E4E7    0F84 9C240200   JE      KERNEL32.77E80989
77E5E4ED    33C0            XOR     EAX, EAX
77E5E4EF    3945 10         CMP     DWORD PTR SS:[EBP+10], EAX
77E5E4F2    0F95C0          SETNE   AL
77E5E4F5    50              PUSH    EAX
77E5E4F6    6A 00           PUSH    0
77E5E4F8    6A 00           PUSH    0
77E5E4FA    6A 00           PUSH    0
77E5E4FC    FF75 FC         PUSH    DWORD PTR SS:[EBP-4]
77E5E4FF    FF76 04         PUSH    DWORD PTR DS:[ESI+4]
77E5E502    E8 BFB4FFFF     CALL    KERNEL32.CopyFileExW
77E5E507    8BF0            MOV     ESI, EAX
77E5E509    8D45 F8         LEA     EAX, DWORD PTR SS:[EBP-8]
77E5E50C    50              PUSH    EAX
77E5E50D    FF15 6810E577   CALL    DWORD PTR DS:[<&NTDLL.RtlFreeUni>; ntdll.RtlFreeUnicodeString
77E5E513    8BC6            MOV     EAX, ESI
77E5E515    5E              POP     ESI
77E5E516    C9              LEAVE
77E5E517    C2 0C00         RETN    0C

Windows API는 함수 호출 방식을 파스칼 방식으로 채택하여  VC++ 에서 스택 push 방식을 파스칼 방식으로 통일 - 호출된 쪽에서 스택을 정리(ret 사용)

 ret : 주어진 바이트 수만큼 스택 포인터를 감소시킨후 해당 함수로부터 리턴
Response : ,

Obfuscated 악성코드 분석 by 혁민

Posted 2007. 6. 12. 09:54, Filed under: Study/Computer Science
같이 회사에서 인턴으로 일하고 있는 혁민이가 우리가 놀고 있는동안 열심히 일한 내용 ㅋ
나도 이런 멋진 걸 하고 싶지만 -_- 걍 혼자 놀고 있었다..;;

출처는 혁민이의 블로그

Obfuscated 프로그램이란...

디스어셈블을 통한 분석을 어렵고 혼란스럽게 하기 위해서 여러가지 방법으로
코드를 어지럽혀 놓은것을 말한다.
Obfuscate 툴을 이용해서 코드를 난잡하게 여러개 생성하여
비슷한 껍데기로 알맹이를 감싸면, 언뜻 껍데기만 보기엔 디스어셈블링해 보았을때
같은 프로그램처럼 보이지만 완전히 다른 알맹이를 가지고 있을수도 있고,
같은 알맹이를 가지고 있지만 다른 껍데기가 씌워져 있어서
다른 프로그램처럼 인식할 수 있다.

악용하면 똑같은 악성코드 여러개를 복사해서 각각 Obfuscated툴로
난잡화(?) 시켜놓으면 AntiVirus 프로그램 입장에선 하나의 악성코드가
2000개의 다른 악성코드로도, 3000개의 다른악성코드로도
보일 수 있게 된다.
또는 다른 악성코드들을 비슷한 껍데기로 감싸서 같은 악성코드의
변형처럼 보이도록 할 수도 있다.

그래서 이런 눈속임(?)에 당하지 않기 위해서 이 난잡한 악성코드의
패턴을 찾아내서 패턴을 비교해 보는 방법으로 싸그리 진단을 하고자 하는
프로젝트가 진행되었고..

6월 들어오면서 내 주업무가 된 작업이 그 프로젝트가 되었다.
이 Obfuscated 악성코드의 일관된 패턴을 찾는것과 찾은 패턴을
이용해서 진단할 수 있도록 스캐너를 제작하여 진단률과
오진여부를 체크하는 것이었다.

설명을 엄청 어렵게 했는데... -_-;; 어쨌든 요 며칠사이 나는 아래와 같은 일을 했다.


패턴분석을 위해 2~3일은 하루종일 툴만 제작했고 남은 기간은

1. 디스어셈블한 어셈코드로 패턴 분석 및 주요시그니쳐 뽑아내기
2. 분석한 자료로 스캐너 제작
3. if 진단 안되는 샘플 생기면 안되는 샘플을 가지고 다시 1번으로.. -_-;;
4. 정상샘플로 오진이 나는지 검사
5. if 오진이 있을경우 다시 1번으로 -_-;;

이런짓과

타사 AntiVirus 프로그램이 Obfuscated를 어떻게 진단하는지 진단법을 알아내기 위해

1. 디스어셈블한 어셈코드로 패턴 분석 및 주요시그니쳐 뽑아내기
2. 타사에서 이용했는지 샘플을 만들어서 체크하기.
3. if, 만든 샘플을 타사 AntiVirus프로그램이 진단하면 성공! else goto 1번-_-;;

이런짓을 반복했다.

그 결과..... 드디어 오늘 빛을 보게 되었다...^_^ㅋㅋㅋㅋㅋㅋㅋㅋ
찾아낸 패턴으로 만든 스캐너는 현재까지 발견된 어떠한 변형 샘플도 모두
찾아내었고, 타사 AntiVirus 프로그램이 어떻게 진단하는지 진단법을
발견해 내었다... (만세.. ㅠㅠ)

자세한 내용도 함께 포스팅 하고 싶지만.. 회사에서 했던 일들에 대한 자료는
공개할 수 없는 관계로 이만....
Response : ,

예외 핸들러 (SEH)

Posted 2007. 6. 11. 14:46, Filed under: Study/Computer Science

예외 핸들러를 지정하는 방식은

PUSH    EAX                                       <==  예외 처리하기 위한 코드의 주소를 넣는다.
PUSH    DWORD PTR FS:[0]                 <==  이전 핸들러의 주소값 저장
MOV     DWORD PTR FS:[0], ESP         <== 새로운 핸들러의 주소값 입력

이러한 방식으로  SEH를 연결한다.

구조체는 아래와 같다.

typedef struct _EXCEPTION_REGISTRATION
{
 EXCEPTION_REGISTRATION  *prev;
 EXCP_HANDLER   handler;
} EXCEPTION_REGISTRATION, *PEXCEPTION_REGISTRATION;


예외가 발생했을 때 수행되는 함수는 아래와 같은 형태이다.

// callback function definition
typedef EXCEPTION_DISPOSITION (*EXCP_HANDLER)
(
 EXCEPTION_RECORD   *pExcpRec,      <== 예외 정보를 포함한 구조체 포인터
 EXCEPTION_REGISTRATION  *pFrame,  <== EXCEPTION_REGISTRATION 포인터
 CONTEXT     *pCtx,                          <== 예외 발생시 CPU 상태를 나타내는 구조체 포인터
 VOID      *pValue    // ESP+10
)

EXCEPTION_RECORD구조체는 아래와 같다.

typedef struct _EXCEPTION_RECORD
{
 DWORD    ExceptionCode;      <== 예외 코드
 DWORD    ExceptionFlags;      <== 플래그
 EXCEPTION_RECORD   *ExceptionRecord;   <== 관련 예외 레코드
 PVOID     ExceptionAddress;     <== 예외가 발생한 주소
 DWORD    NumberParameters;   <== 예외 정보수
 UINT_PTR    ExceptionInformation[0Fh];      <== 예외 정보
} EXCEPTION_RECORD;

위 정보를 사용해서 예외를 발생 시키고 해당 핸들러에서는 예외 처리를 마치고 복귀되는
주소값을 바꿔서 엉뚱한 곳으로 복귀시킬도 있고 복귀할 곳의 값을 바꾸어서 다른 코드를
수행할 수도 있다.

MOV     EDX, DWORD PTR SS:[ESP+4]    
<== EDX에 EXCEPTION_RECORD의 포인터값을 넣느다.

MOV     EDX, DWORD PTR DS:[EDX+C]       <== 예외가 발생한 주소값을 EDX에 넣고
MOV     BYTE PTR DS:[EDX], 0E9               <== 수정
이제 예외 처리를 마치고 돌아가면 다른코드로 변경되어 있다.

- 중요 -

예외 처리 후 ZwContinue명령을 수행해서 예외가 발생한 주소로 돌아오게되는데
이때.. 디버깅하는 프로그램에서는 돌아와서 첫번째 명령수행은 그냥 넘어간다.


MOV  <== 예외발생

MOV <== 디버깅 프로그램에서는 여기로 복귀 하지만 위 MOV명령어 위치로 복귀되는것임.


Response : ,

레지스트리

Posted 2007. 6. 11. 14:38, Filed under: Study/Computer Science

악성코드 중에서는 레지스트리 정보를 변경해서 자신을 자동 실행하거나
기타작동을 하는데 사용한다.

몇가지 값들을 찾아서 정리해 본다.

;Disable Automatic Restart in the event of a BSOD
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

;Speed up shutdown
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="3000"

;Disable the Desktop Cleanup Wizard
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz]
"NoRun"=dword:00000001

;Disables Error Reporting, but notifies when errors occur
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
"DoReport"=dword:00000000

;Disable Welcome Screen and uses Classic Logon
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LogonType"=dword:00000000

;Disable Windows Picture and Fax Viewer
[HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\ContextMenuHandlers\ShellImagePreview]

;Do not use Simple File Sharing
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000

;Speed up Network Browsing by removing Network Scheduled Tasks
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]

;Remove Shortcut Arrows
[HKEY_CLASSES_ROOT\lnkfile]
"IsShortcut"=-

;Disables Windows Tour bubble popup
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Tour]
"RunCount"=dword:00000000

;Disable Imapi CD-Burning Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService]
"Start"=dword:00000004

;Disable Messenger Service (to stop spam. Does not affect MSN or Windows Messenger)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=dword:00000004

;Disable Remote Registry Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start"=dword:00000004

;Disable SSDP Discovery Service (Universal Plug'n'Play)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV]
"Start"=dword:00000004

;Disable Universal Plug'n'Play Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upnphost]
"Start"=dword:00000004

;Disable Windows Time Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Start"=dword:00000004

;This will add "Services" to the right-click menu of "My Computer"
[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\services]
@=hex(2):53,00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,00,00
"SuppressionPolicy"=dword:4000003c
[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\services\command]
@=hex(2):25,00,77,00,69,00,6e,00,64,00,69,00,72,00,25,00,5c,00,73,00,79,00,73, 00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,63,00,2e,00,65,00,78,00, 65,00,20,00,2f,00,73,00,20,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52, 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00, 32,00,5c,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,2e,00,6d,00,73, 00,63,00,20,00,2f,00,73,00,00,00

;This adds the "Open Command Window Here" on the right click menu for folders
[HKEY_CLASSES_ROOT\Directory\shell\cmd]
@="Open Command Window Here"
[HKEY_CLASSES_ROOT\Directory\shell\cmd\command]
@="cmd.exe /k \"cd %L\""
[HKEY_CLASSES_ROOT\Drive\shell\cmd]
@="Open Command Window Here"
[HKEY_CLASSES_ROOT\Drive\shell\cmd\command]
@="cmd.exe /k \"cd %L\""

;Remove Shared Documents from My Computer
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]

;NoRecentDocsmenu removes the recent documents from the start menu.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=dword:00000001

;Classic search, full path in title bar and address bar.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath"=dword:00000001
"FullPathAddress"=dword:00000001
"Use Search Asst"="no"
"Settings"=hex:0c,00,02,00,1b,01,e7,77,60,00,00,00

;Allow renaming of Recycle Bin
[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder]
"Attributes"=hex:50,01,00,20
"CallForAttributes"=dword:00000000

;NoLowDiskSpaceChecks won't check if you are low on diskspace and pop up a balloon telling you.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLowDiskSpaceChecks"=dword:00000001

;Change MenuShowDelay (Start Menu load speed)
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="2"

;Adds search keywords to Internet Explorer
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\MSKB]
@="http://support.microsoft.com/?kbid=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\AV]
@="http://www.altavista.com/sites/search/web?q=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\Ggl]
@="http://www.google.com/search?q=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\MSN]
@="http://search.msn.com/results.asp?q=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\FM]
@="http://www.filemirrors.com/search.src?file=%s"

;Prevents Internet Explorer windows from being reused
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"AllowWindowReuse"=dword:00000000

;Max your Internet Explorer's simultaneous downloads to 10 (default was 2)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:0000000a
"MaxConnectionsPerServer"=dword:0000000a

;Remove WMP Right Click Options (Queue-it-up, etc.)
[-HKEY_CLASSES_ROOT\CLSID\{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}]
[-HKEY_CLASSES_ROOT\CLSID\{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}]
[-HKEY_CLASSES_ROOT\CLSID\{8DD448E6-C188-4aed-AF92-44956194EB1F}]

;Removes Sign up with Passport Wizard when trying to sign in MSN Messenger
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Passport]
"RegistrationCompleted"=dword:00000001

;Disables Preview of Movie file formats (allowing you to move/rename/delete without errors)
[-HKEY_CLASSES_ROOT\.avi\ShellEx]
[-HKEY_CLASSES_ROOT\.mpg\ShellEx]
[-HKEY_CLASSES_ROOT\.mpe\ShellEx]
[-HKEY_CLASSES_ROOT\.mpeg\ShellEx]

And A site to keep you busy for days!!

http://www.kellys-korner-xp.com/xp_tweaks.htm

disabling IP Forwarding
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
"IPENABLEROUTER"=DWORD:00000000


disallow fragmented IP
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\IPFILTERDRIVER\PARAMETERS]
"ENABLEFRAGMENTCHECKING"=DWORD:00000001


disabling ICMP-Redirect
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
"ENABLEICMPREDIRECTS"=DWORD:00000000


enabling TCP/IP-Filtering
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
"ENABLESECURITYFILTERS"=DWORD:00000001


disallow forward of fragmented IP-Pakets
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\IPFILTERDRIVER\PARAMETERS]
"DEFAULTFORWARDFRAGMENTS"=DWORD:00000000


restart if Evenlog fails
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA]
"CRASHONAUDITFAIL"=DWORD:00000001


Winsock Protection
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\AFD\PARAMETERS]
"ENABLEDYNAMICBACKLOG"=DWORD:00000020
"MAXIMUMDYNAMICBACKLOG"=DWORD:00020000
"DYNAMICBACKLOGGROWTHDELTA"=DWORD:00000010


Denial-of-Service Protection
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
"SYNATTACKPROTECT"=DWORD:00000002
"TCPMAXDATARETRANSMISSIONS"=DWORD:00000003
"TCPMAXHALFOPEN"=DWORD:00000064
"TCPMAXHALFOPENRETRIED"=DWORD:00000050
"TCPMAXPORTSEXHAUSTED"=DWORD:00000001
"TCPMAXCONNECTRESPONERETRANSMISSIONS"=DWORD:00000002
"ENABLEDEADGWDETECT"=DWORD:00000000
"ENABLEPMTUDISCOVERY"=DWORD:00000000
"KEEPALIVETIME"=DWORD:00300000
"ALLOWUNQUALIFIEDQUERY"=DWORD:00000000
"DISABLEDYNAMICUPDATE"=DWORD:00000001


Disable Router-Discovery

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\INTERFACES]
"PERFORMROUTERDISCOVERY"=DWORD:00000000


Disabling DomainMaster

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BROWSER\PARAMETERS]
"MAINTAINSERVERLIST"="No"
"ISDOMAINMASTER"="False"


Disable Netbios-Name exposing

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]
"NONAMERELEASEONDEMAND"=DWORD:00000001


Fix for MS DNS Compatibility with BIND versions earlier than 4.9.4

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DNS\PARAMETERS]
"BINDSECONDARIES"=DWORD:00000001


disabling Caching of Logon-Credentials (possible also with USRMGR.EXE)

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"CACHEDLOGONCOUNT"=DWORD:00000001


disabling IP-Source-Routing

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
"DISABLEIPSOURCEROUTING"=DWORD:0000001


allow only MS CHAP v2.0 for VPN connections

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RASMAN\PPP]
"SECUREVPN"=DWORD:00000001


disabling caching of RAS-Passwords

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RASMAN\PARAMETERS]
"DISABLESAVEPASSWORD"=DWORD:00000001


Printerinstallation only by Admins/Print Operators [HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\PRINT\PROVIDERS\LANMAN
PRINT SERVICES\SERVERS]
"ADDPRINTDRIVERS"=DWORD:00000001

disabling Administrative Shares NT4.0 Server ($c, $d, $e etc)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS]
"AUTOSHARESERVER"=DWORD:00000000


disabling Administrative Shares NT4.0 Workstation ($c, $d, $e etc)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS]
"AUTOSHAREWKS"=DWORD:00000000


allow only authenicated PPP Clients

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RASMAN\PPP]
"FORCEENCRYPTEDPASSWORD"=DWORD:00000002


enabling RAS-Logging

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RASMAN\PARAMETERS]
"LOGGING"=DWORD:00000001


disabling NTFS 8.3 Namegeneration

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\FILESYSTEM]
"NTFSDISABLE8DOT3NAMEGENERATION"=DWORD:00000001


disallow anonymous IPC-Connections

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA]
"RESTRICTANONYMOUS"=DWORD:00000001


enabling SMB Signatures (Server)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS]
"REQUIRESECURITYSIGNATURE"=DWORD:00000001


enabling SMB Signatures (Client)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RDR\PARAMETERS]
"REQUIRESECURITYSIGNATURE"=DWORD:00000001


NT LSA DoS (Phantom) Vulnerability

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\AEDEBUG]
"AUTO"="0"


MDAC runs in secured [1] / unsecured [0] Mode

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\DATAFACTORY\HANDLERINFO]
"HANDLERREQUIRED"=DWORD:00000001


disable Lan Manager authentication

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA]
"LMCOMPATIBILITYLEVEL"=DWORD:00000002
Level 0 - Send LM response and NTLM response; never use NTLMv2
Level 1 - Use NTLMv2 session security if negotiated
Level 2 - Send NTLM response only
Level 3 - Send NTLMv2 response only
Level 4 - DC refuses LM responses
Level 5 - DC refuses LM and NTLM responses (accepts only NTLMv2)


disabling DCOM (possible also with DCOMCNFG.EXE)

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\OLE]
"ENABLEDCOM"="N"


restrict Null-User-/Guest-Access to Eventlog

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION]
"RESTRICTGUESTACCESS=DWORD:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\SECURITY]
"RESTRICTGUESTACCESS=DWORD:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\SYSTEM]
"RESTRICTGUESTACCESS=DWORD:00000001


disable displaying last logged in user

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"DONTDISPLAYLASTUERNAME"="0"


restrict Floppy-/CD-ROM-access to the current logged on user

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"ALLOCATEFLOPPIES"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"ALLOCATECDROMS"="1"


no Autorun for CD-Rom (1=enabled 0=disabled)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CDROM]
"AUTORUN"=DWORD:00000000


clear pagefile on shutdown

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\SESSION MANAGER\MEMORY
MANAGEMENT]
"CLEARPAGEFILEATSHUTDOWN"=DWORD:00000001


enabling Screensaver Lockout

[HKEY_USERS\.DEFAULT\CONTROLPANNEL\DESKTOP]
"SCREENSAVEACTIVE"="1"


disabling OS/2 Subsystem (if not needed)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\SESSION MANAGER\SUBSYSTEMS]
NAME: OS2


disabling POSIX Subsystem (if not needed)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\SESSION MANAGER\SUBSYSTEMS]
NAME: POSIX


run IIS CGI with context of "IUSR_computername"

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\W3SVC\PARAMETERS]
"CreateProcessAsUser"=dword:00000001


Security Message (Logon)

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"Welcome"="   Unauthorized Access is prohibited "


Policies (1=enabled 0=disabled)

[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\PROGRAM MANAGER\RESTRICTIONS]
[HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\PROGRAM MANAGER\RESTRICTIONS]
[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM]


enable logging of successful http requests

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\W3SVC\PARAMETERS]
"LogSuccessfulRequests"=dword:00000001


disable IIS FTP bounce attack (IIS 2/3)

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\MSFTPSVC\PARAMETERS]
"EnablePortAttack"=dword:00000000


enable logging of bad http requests

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\W3SVC\PARAMETERS]
"LogErrorRequests"=dword:00000001



Response : ,
« Previous : 1 : ··· : 5 : 6 : 7 : 8 : 9 : 10 : 11 : 12 : Next »

Recent Posts

Recent Comments

Recent Trackbacks

Total hit (Today , Yesterday )

Admin Write Post

티스토리툴바