다비's IT

1. 실행 전 분석 - ELF - 리눅스는 실행파일의 형식으로 ELF(Executable and Linkable Format)를 규정하고 있다. - readelf -h [파일명]으로 확인할 수 있다. $ readelf -h [파일명]//example: readelf -h dabi - ELF 헤더 중 진입점(Entry Point, EP) 필드를 통해 시작 주소를 확인할 수 있다. 아래 예시에서는 0X400400임을 알 수 있다. $ readelf -h dabi ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian Version: 1 (current) OS..

1. Suricata rule 구조 Suricata rule은 크게 action, header, rule 옵션으로 나눌 수 있다. 예를 들어 아래와 같은 rule이 있다고 할 때 빨간색이 action, 초록색이 header, 파란색이 rule 옵션에 해당한다. drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc; content:”NICK “; pcre:”/NICK .*USA.*[0-9]{3,}/i”; reference:url,doc.emergingthreats.net/2008124; cla..

Suricata를 Kali linux에 구축할 경우 sudo apt install suricata 명령어로 설치 후 바로 사용이 가능하지만, Ubuntu에 설치하게 될 경우 추기적인 패키지 설치와 몇 가지 설정들을 추가적으로 해줘야해서 조금 더 복잡해지는 것 같다. 상황에 따라 우분투에서 진행해야하는 경우가 있을 수 있으니 Ubuntu 20.04 버전에 Suricata를 설치하는 방법을 정리해보려고 한다. 설치 전에 먼저 루트 계정으로 들어간 뒤 apt get update 해준다. 1. Suricata에서 요구되는 종속성 설치 Suricata를 컴파일하기 위해 필요한 몇가지 종속성을 설치해야한다. apt-get install rustc cargo make libpcre3 libpcre3-dbg libpc..