웃바네

WMI는 윈도우 NT 4.0과 Windows 95부터 모든 윈도우 운영체제에 존재하는 기능으로서, 윈도우 시스템을 관리하기 위한 도구의 집합이다. 로컬과 원격 환경을 모두 지원하며 매우 다양한 기능을 제공한다. 공격자는 WMI의 강력한 기능을 공격에 악용하여 AV, VM 탐지, 코드 실행, Lateral Movement, 공격 지속, 데이터 탈취 등 공격 전반에 이르는 영역에 활용하고 있다. 특히 WMI는 파일리스한 특성으로 인해 공격자들의 인기를 끌고 있으며 2010년 Stuxnet에서 발견된 이후 꾸준히 발견되고 있다. 이 글에서는 다음의 내용을 다룬다. WMI 개념과 구조 WMI 사용 WMI 실전 활용 1. WMI 구조 WMI는 WBEM(Web-Based Enterprise Management)와 ..

Windows 로그, 관리 이벤트 삭제 Windows에서 오류, 이벤트등을 기록을 하는데 Windows 사용중 오류 발생시 오류를 해결하기 위해 사용합니다. 불필요한 로그나 오래된 기록은 삭제할 수 있습니다. Windows 로그는 삭제가 가능하나 관리 이벤트는 삭제가 되지 않습니다. 관리 이벤트는 명령 프롬프트를 이용하여 삭제할 수 있습니다. Windows 로그 삭제 "시작" 우클릭 → 이벤트 뷰어 → Windows 로그 → "응용 프로그램", "보안"등 선택 → 로그 지우기 명령 프롬프트(관리자)를 이용한 Windows 로그 삭제 방법 : 명령 프롬프트(관리자)를 실행 (명령 프롬프트관리자로 실행 방법) wevtutil.exe cl "Application" & wevtutil.exe cl "Securi..