Monitoring Tool
Strace 를 이용한 동작 확인 및 모니터링
의존성 문제로 인해 OS 별로 실행되지 않는 경우가 빈번할 수 있다. 이를 위해 해당 OS 에서 동작하는지 빠르게 확인하기 위해 사용하는 방법으로 Strace 가 존재한다.
아래 예시는 strace 로 "ls" 를 실행한 결과이다. 마지막에 exited with 0 으로 정상적으로 종료가 되었음을 확인 할 수 있다.
remnux@remnux:~/Desktop$ strace ls
execve("/bin/ls", ["ls"], [/* 68 vars */]) = 0
brk(0) = 0xbc1000
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=107852, ...}) = 0
mmap(NULL, 107852, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f5b620e9000
close(3) = 0
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libselinux.so.1", O_RDONLY|O_CLOEXEC) = 3
...........
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f5b62103000
write(1, "linux_server REMnux Cheat Sheet"..., 66linux_server REMnux Cheat Sheet REMnux Docs REMnux Tools Sheet
) = 66
close(1) = 0
munmap(0x7f5b62103000, 4096) = 0
close(2) = 0
exit_group(0) = ?
+++ exited with 0 +++
Sysdig 를 이용한 모니터링
다양한 필터를 가지고 있으며, Windows 의 Procmon 같은 녀석
Network 관련 도구
WireShark 를 통한 네트워크 패킷 분석
netstat -anp 를 통해 네트워크 연결 상태 조회
Windows 의 TCPView 와 같은 명렁어
$ watch -pn 0.1 "netstat -nap"
Process 관련 도구
ps -e -f | grep ~~~
pstree
Gnome-System-monitor
htop
'Reversing > Theory' 카테고리의 다른 글
| SysAnalyzer Tool (동적분석 도구) (3) | 2019.01.04 |
|---|---|
| IQY File - Using Malware Campaign (0) | 2018.10.23 |
| Process Doppelganging (0) | 2018.02.13 |
| Dynamic Data Exchange (DDE) (0) | 2017.11.12 |
| Atombombing 기법 (0) | 2017.05.28 |