Hack For Us

쿠키 정보 분석

다운로드 URL , 다운로드 시간 : 사용자가 특정 시간에 해당 사이트를 방문함을 입증

다운로드 URL 내의 특정 키워드를 통해 사용자의 특정 행위를 유추

한글파일의 경우 웹 브라우저 상에서 바로 열기를 수행할 경우, hwp 파일 형태로 그대로 저장 됨.

====================================================================================

히스토리 정보

-사용자가 방문한 웹사이트의 접속 정보

-사용자의 편의를 위해 저장됨 ( 예전에 방문한 사이트를 다시 방문하고 싶을 때, 월별 일별 방문 기록을 분류해서 제공 )

-저장 형식 분류

직접 접근 : URL 입력창에 직접 주소 입력

간접 접근 : 링크를 통해서 접근

히스토리 정보 분석 : 방문사이트 URL, 방문 시간, 방문 횟수, 웹 페이지 제목(Title)

방문사이트 URL과 방문 시간 -> 해당 사이트의 방문시간 정보

방문 URL 내에 GET 방식으로 포함된 인자값 분석 – 검색어 정보 추출, 아이디, 패스워드 추출

URL 내의 특정 키워드를 통한 사용자 행위 분류

 ====================================================================================

쿠키 정보

웹사이트에서 사용자의 하드디스크에 저장시켜놓는 사용자에 관한 데이터

웹 사이트에서 사용자 별, 개인화 된 서비스 제공을 위해 사용

-자동 로그인 기능

-웹 쇼핑몰 사이트 : 열람한 물건 리스트, 저장한 물건 리스트

-웹 하드 사이트 : 찜 해놓은 자료, 다운 받은 자료

쿠키 정보 분석 : 호스트, 경로, 쿠키 수정 시간, 쿠키 만료 시간, 이름, 값

호스트 -> 접속한 사이트

경로 -> 사용한 서비스 유추

쿠키 수정 시간 -> 해당 사이트의 마지막 접속 시간

이름, 값 : 로그인 아이디 저장 옵션 활성화 시 로그인 아이디 정보 획득 가능

             사용자 Unique ID( ex : Facebook User ID)

             Google Analytics 정보

어플리케이션 바인딩

바인딩 : 서로 엮다. 무언가와 무언가를 엮는다는 의미이다.

어플리케이션 바인딩이란 적절한 어플리케이션과 연결시켜준다는 의미이다. 예를들어, 어떤 파일을 실행했을 때 해당 파일이 자동적으로 어떤 특정 어플리케이션과 연결되어 실행된다.

(mp4파일을 실행하였을 때 곰플레이어로 해당 파일이 실행이 되는 상황)

이렇듯 파일과 어플리케이션을 연결시켜주는 작업을 어플리케이션 바인딩이라고 한다.

어플리케이션 바인딩은 각 운영체제별로 설계방식에 따라 다르다.

-윈도우 어플리케이션 바인딩

윈도우는 확장자(extention)에 기반하여 어플리케이션 바인딩을 수행한다. 따라서, 확장자를 변경하면 해당 어플리케이션으로 연결이 되지 않는다. 예를들어 hwp파일의 확장자를 jpg로 바꾸면 한컴오피스가 실행되는 것이 아니라 이미지뷰어가 실행된다. 물론 hwp파일은 jpg포맷을 가지고 있지 않기 때문에 오류가 발생된다. 하지만 jpg파일을 png로 변경하여도 문제 없이 뜨는 이유는 해당 어플리케이션이 png 파일도 해석할 수 있기 때문이다. 결국, 바인딩은 단순히 어플리케이션으로 연결만 시켜주는 역할을 수행한다. 이후의 작업은 해당 어플리케이션의 동작에 의존한다.

자, 그럼 어플리케이션 바인딩 정보는 어디에 있을까?

윈도우 NT 이후 다중 사용자 시스템이기 때문에, 바인딩 정보는 사용자에 따라 다르게 존재한다.

개별적인 바인딩 정보는 사용자 레지스트리 정보인 “NTUSER.DAT”레지스트리 파일에 저장된다. 레지스트리(regedit.exe)을 열어보면 5개의 기본적인 키가 보이는데, 이중 HKEY_USER키가 NTUSER.DAT 파일의 내용을 보여준다. HKEY_CURRENT_USER 항목은 현재 로그인한 사용자의 정보를 유지하고 있는데, 로그아웃이나 종료를 하게되면 각각 HKEY_USER로 복사가 된다.

윈도우의 어플리케이션 바인딩 정보는

HKEY_USERS\<user_SID>\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts 에 저장이 된다.

각 사용자의 SID로 구분되어 사용자별 어플리케이션 바인딩 정보가 저장되는 것이다.

해당 키 값을 살펴보면, 하위에 많은 확장자 이름별로 키가 존재한다. 각각 확장자를 클릭해보면 연결되는 프로그램 정보가 저장되어 있다.

어디선가 많이 본듯한 이 화면, 적절한 연결프로그램이 없을 때 연결할 프로그램을 고르라는 이 창이 바로 어플리케이션 바인딩을 지정하는 창이다.

- 리눅스 / 유닉스 어플리케이션 바인딩

유닉스 계열(리눅스포함)은 확장자 기반의 바인딩이 아니라 파일의 고유 헤더 시그니처를 기반으로 바인딩을 수행한다. 따라서 유닉스 계열에서는 확장자를 .jpg로 변경한 COFF 포맷의 파일도 실행권한만 주어지면 정상적으로 동작한다.

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

본 게시물은 공부한 내용을 바탕으로 작성한 글로써, 점차 수정 및 추가를 통해 내용을 발전시킬 계획입니다.

따라서 오타 및 내용상의 오류, 추가할 내용 등이 있을 경우 주저 없이 알려주시면 감사하겠습니다.

궁금한점을 물어보시면 제가 아는 선에서 최대한으로 알려드리겠습니다.

TCP(Transmission Control Protocol) 

-TCP란?

TCP란 연결형 서비스를 지원하는 전송계층 프로토콜로 IP 프로토콜 위에 위치해있다.

전이중(Full Duplex)방식의 양방향 가상 회선을 제공하고, 신뢰성 있는 데이터 전송을 보장한다.

-TCP의 특징

속도가 느리다.(UDP에 비해)

연결형 서비스를 지원한다. ( 데이터를 보내기 위해 연결 설정, 데이터 전송, 연결 해제의 3단계를 진행한다. )

신뢰성이 좋다.

Client 와 Server 통신중 원격에서 중간에 끼어들기가 어렵다( MITM공격이 힘들다 )

-1. Sequence Number가 랜덤이기 때문에 (엄밀히 따지면 랜덤은 아님) 알아내기 힘들다. 

-2. 어찌어찌 알아내서 끼어들수 있다고해도, Destionation IP때문에 반응을 받을 수 없다.

패킷을 Segment라는 단위로 나누어서 통신한다.
 

TCP의 신뢰성을 유지시켜주는 역할 - Sequence number

                                                Acknowledgement Number

                                                windows size(Flow control)

  Connection-Oriented - Data를 교환하기 위해 두 Node는 Connection을 맺음 ( 3 way - handshaking)

-TCP헤더의 구조

Source Port (2Byte) : 송신 측 포트번호, Dynamic하게 할당됨(1,024 이상)

Destination Port (2Byte) : 수신 측 포트번호, 고정포트

Sequence number (4Byte) : SYN flag가 1인 경우 - 초기 순서 번호를 나타냄 ( 3way Handshaking 시)

            SYN flag가 0인 경우 - 세그먼트의 순서 번호를 나타냄

Acknowledgement Number (4Byte) : Seq number에 대한 응답이며 Payload가 없을 때에는 Seq Number + 1

 Payload가 있을 때에는 Seq Number + Payload의 길이

Offset : TCP 헤더의 길이

Flags (1Byte) : 이 패킷의 용도를 나타냄

- URG : 긴급 (긴급히 전송할 데이터가 있다.라고 우선순위를 설정)

- ACK : 응답 (데이터를 잘 받았다. 라고 응답)

- PSH : 푸쉬

- RST : 리셋 (오류 발생시 데이터를 수신하지 않음)

- FIN : 종료 (데이터 송수신 완료시 가상 회선 연결을 끊음)

Window (2Byte) : 흐름제어를 위해 사용하는 필드

-TCP 흐름제어를 위해 송신자에게 수신자 자신의 버퍼 여유용량 크기를 지속적으로 통보함

-수신측에 의해 능동적으로 흐름제어를 수행하게 됨.

Checksum (2Byte) : 검사합 ( 오류체크)

Urgent pointer (2Byte) : Flags에 URG비트가 1일경우, TCP 세그먼트에 포함된 긴급 데이터의 마지막 바이트에 대한 일련번호를 나타냄

-현재 일련번호로 부터 긴급 데이터까지의 바이트 offset

-해당 세그먼트의 일련번호에 Urgent point 값을 더해 긴급 데이터의 끝을 알 수 있음

-Flags에 URG비트가 0일경우 이 필드는 무시된다.

Options : 최대 40바이트까지 옵션 데이터 포함 가능

-주어진 윈도우 크기보다 더 크게 사용하거나, 타임스탬프 옵션 정의등의 설정을 한다.

UDP (User Datagram Protocol)

-UDP란?

UDP란 비연결형 서비스를 지원하는 전송계층 프로토콜이다.

신뢰성이 낮은 프로토콜로써 완전성을 보증하지는 않으나, 유연하고 효율적이다.

따라서 약간의 데이터의 손실이 있어도 상관없는 데이터를 전송할 때 유용하다.

-크기가 큰 동영상(데이터에 약간의 손상이 가더라도 실제로 동영상을 볼때는 한 프레임의 조그만 손상이다.)

예전에는 케이블을 통한 통신도중 데이터의 손실 확률이 높았지만 요즘은 광케이블을 사용하는 등 데이터의 손실이 많이 않기때문에

속도가 빠르다는 면에서 많이 쓰인다.

-UDP의 특징

Connectionless and unacknowledged (가상회선을 확립하지 않으며 데이터수신에대한 응답을 하지 않는다.)

Not-Guaranteed ( 완벽한 데이터 전송을 보장하지 않는다.)

Header 길이가 작다.

오류제어 및 흐름제어가 없다.

데이터 전송 속도가 빠르다.
 

-UDP헤더의 구조