the Desirable Garfield

별점

0.0점 | 네티즌리뷰 0건

앤드류 후그 저 |윤근용 역 |에이콘출판 |2013.02.28

원제 Android forensics : investigation, analysis, and mobile security for google android.

페이지 480|ISBN 9788960774032|판형 B5, 188*257mm|책정보더보기 도서관 소장 정보 국립중앙도서관

@ ADB 사용 준비

 - VMware, VBOX로 USB 연결하기, 연결 시 쓰기방지 할것. ( 자동마운트 대신 수동 마운트로 할것 )

 - ADB 사용법 추가 확인 주소 : http://developer.android.com/guide/developing/tools/adb.html#commandsummary

@ 안드로이드 파일시스템과 데이터 구조

 :  물리 메모리와 파일시스템과 데이터 구조는 안드로이드 기기의 데이터 저장소를 위한 기본요소다. 그러한 요소들을 깊이 있게 이해하게 되면 안드로이드 기기를 잘 이해할 수 있을 뿐만 아니라 새롱누 파일시스템과 데이터 구조를 보게 되더라도 스스로  조사할수 있게 된다.

  - yaffs2.tar.gz 를 다운 받아서 설치한 뒤 디바이스에 마운트해서 해당 값을 확인할 수 있다.

  - Shared Preferences

    -- boolean, float, int, long, strings 에 대한 값이 저장된다.

    -- 경로 : /data/data/apk_pkg_name/shared_prefs

  - SQLite 정보 위치 ( /data/data/com.android.webkit )

    -- app_icons, app_cache, app_geolocation : 아이콘 DB 1개 , 웹 어플 데이터 캐시 1개, GPS 위치와 권한과 관련된 DB 2개

    -- app_databases 웹사이트 지원을 위한 로컬 데이터 베이스 저장소를 제공하는 21개의 데이터 베이스

    -- databases : 브라우저와 브라우저 캐시를 위한 데이터 베이스 3개

  - db 보는 명령어

    -- sqlite3 db.db

@ 안드로이드 포렌식 기술

 : 안드로이드 기기에서 포렌식 이미지를 획득하기 위한 기술을 여러가지가 있다. 만약 분석 대상 기기가 패스코드로 보호돼 있다면 그것을 회피하거나 우회해서 데이터를 추출해야만 한다. 패스코드를 회피하기 위한 기술을 여러가지가 있지만 어느 상황에서나 항상 패스코드를 회피하는 것은 불가능하다. 일단 기기에 접근 가능하면 포렌식 분석가는 삭제되지 않은 데이터에 초점이 맞춰진 콘텐트 프로바이더를 통한 논리적인 데이터 획득이나 물리적인 데이터 획득 방법 중에서 어느 기술을 사요할 것인지 선택할 수 있다. 물리적 데이터 획득 기술은 이용하면 더 많은 데이터를 얻을 수 있지만 일반적으로 더 복잡한 분석 기술을 필요로 한다.

 - APK 보안 검토 툴 : http://viaforensics.com/appwatchdog/

 - AFLogical : 콘텐트 프로바이더로 접근할 수 있는 정보를 추출한다. viaForensics에서 무료 배포.

  -- 결과물은 CSV로 출력

 - 포렌식에 사용될 수 있는 상업용 제품

  -- Cellebrite UFED

  -- Compelson MOBILedit!

  -- EnCase Neutrino

  -- Micro Systemation XRY

  -- Paraben Device Seizure

  -- viaForensics의 viaExtract

  ( more. Oxygen Forensic Suite, Logicube's CellDEK )

 - 기기의 루트 권한 획득

  -- [ $ adb shell su ] 명령어로 루트 권한 획득이 가능한지 확인 ( 루팅 확인 )

  -- 복구 모드를 이용하여 루팅( 일시적/영구적 ) 하거나 취약점을 사용해서 루팅한다.

  -- 권한 획득 : 부트로더, RSD Lite, sbf_flash, fastboot, AFPhysical

@ 안드로이드 애플리케이션과 포렌식 분석

 : 조사할 안드로이드 기기를 획득하는 것은 연구나 개발, 논의 에 있어서 매우 주요한 부분이지만 안드로이드 포렌식에서는 단지 시작일 뿐이다. 분석을 위해서는 논리적 물리적 기술이 모두 필요하다. 하지만, 물리적 데이터 획득 이후에 더 많은 양의 분석이 요구 된다. 이 부분에서 목적은 포렌식 분석가나 보안 엔지니어가 안드로이드 기기를 조사할 수 있는 기술, 심지어 포렌식 툴이 제대로 지원하지 못하는 파일시스템이라고 하더라도 그것을 조사할 수 있는 기술을 제공하는 것이다. 기존의 포렌식 툴과 리눅스 명령. 그리고 경우에 따라서는 헥스 분석을 사용하면 조사가 필요한 데이터 대부분을 분석할 수 있다.

 - Hex : 포렌식 분석가의 좋은 친구

  -- $ sudo apt-get install ncurses-hexedit // 매우 빠른 터미널 기반의 헥스 에디터; 다른 것을 써도 된다.

 - strings 를 활용해서 정보의 갯수를 알 수 있다; 정보의 유/무

  -- $ strings --all --radix=x mmssms.db | grep 312123123 | wc -l // 해당 정보 312123123가 몇 개 존재하는 지 알수 있다.

 - FAT 포렌식 분석

  -- log2timeline을 이용한다. 그 전에 앞에서 활용했던 SD 카드 이미지 만들기, TSK의 mmls로 이미지를 조사하고, 이미지를 마운트해야 한다. ( 기타 추가 설명은 p 384에 있다. )

- YAFFS2( http://yaffs.net/yaffs-debugging ) : $ scalpel -c ~/scalpel-android.conf ~/xxx-datadata.dd -o ~/xxx-scalpel-test

- 법 집행기관이나 포렌식 분석가를 위한 리눅스를 아주 잘 설명한 웹사이트 ( Linux LEO : The Law Enforcement and Forensic Examiner's Introduction to Linux ) : http://www.linuxleo.com

# 책을 다 보고 나니, 이렇게 간단히 정리되었다. 정보 파일에 접근하기 위해 복구 및 권한을 가진 후 기기에 손상이 가지 않도록 복사한다. 그 다음에 해당 정보에서 필요한 정보를 추출한다.

# 여기서 들어가는 기술을 분리하자면 권한 획득, 복구 기술, 접근 기술, 추출 기술로 나뉘어지는 것 같다.

페이지 433|ISBN  9788960772168|판형 B5, 188*257mm

백트랙 4 보는중에 정리해두면, 나중에 편할 것 같아성. 대충~ 정리~ ^^;

(1) 정보 수집

* nmap 

포트 스캔으로 아주 유명하다~

간단히 명령어 적으면 아래 처럼 활용, 뒷부분에 -p 80 이라고 적으면 80번 포트만 스캔함.

# nmap -sT 10.1-255,0.10 

옵션으로는

1. -sT : TCP통신 확인, 핸드쉐이크

2. -sU : UDP 통신 확인

3. -sN : 널 패킷

4. -sS : 스텔스로 확인

추가 적인건 헬프로 확인해서 사용!

* unicornscan : 정보 수집 및 상관관계 엔진 툴

TCP/IP 장치에 자극을 준 다음, 응답 측정할 때 유용.

아래와 같이 활용

# unicornscan -m U -Iv 10.10.0.1/24:1-65535

패킷전송률을 수정해서 활용한다. 기본으로 할 경우, 너무 많은 시간이 걸린다.

# unicornscan -r 100000 -m U -Iv 10.10.0.1/24:1-65535

이렇게 하면 스캔이 훨씬 빨리 수행되는 걸 확인할 수 있다.

* zenmap

GUI로 제공된다.

두 스캔을 비교할수 있고,

토폴로지로 출력되어서 눈으로 확인하기 좋다. 토폴로지에 해당 컴퓨터 이름이 출력된다.

Profile에서 'Regular scan'을 선택해서 활용한다.

* amap : 서비스 탐색

아래와 같이 입력해서 사용한다.

# amap -bq 10.0.2.100 80 3306

80번 포트와 3306번 포트에서 실행중인 서비스를 찾아낸다.

* httprint : 핑거프린팅 툴 : 구매자 정보를 통해 불법 유포 추적하는 핑거프린팅의 정의 .디지털 자산에 사용자에 대한 정보를 은닉함으로써 출력물이나 디지털 자산으로부터 유출자에 대한 정보를 추출하여 불법행위를 추적하게 하는 기술

 아래와 같이 입력하면 웹서버의 시그니쳐를 받아온다. 완전히 정확하진 않지만 꽤 정확한 추측을 해낸다.

#./httprint -h 10.10.0.1 -s signature.txt

* httsquash : http 서비스를 스캔하고, 배너 수집, 데이터 추출하는 툴이다.

# ./httsquash -r 10.10.0.2

* ike-scan : IPSec VPN 시스템 발견, 핑거프린팅, 테스트 보안 툴

IKE = Internet Key Exchange는 IPSec에서 사용되는 키 교환 겸 인증 기법이다.

 - 임의개수의 목적지에 호스트로 IKE패킷 전송( 다양한 방법으로 구성가능 )

 - 응답 패킷을 디코딩한 후 화면에 출력할 수 있음

 - psk-crack툴을 이용해 aggressive mode의 사전 공유기( pre-shared key ) 크랙할 수 있음

아래와 같은 명령어로 서버 발견

# ike-scan -M -v 192.168.109.99

위 명령어 결과로 암호화방식( 3DES ), 해시( SHA1 ), 인증( PSK ), Diffie-Hellman 그룹 ( 2 ), SA 유효기간 ( 28800 초 ) 확인

SA 페이로드 정보 획득한 후 VPN 서버를 핑거프린팅 성공 할 때까지 변환속성을 바꿔가며 시도.

 " http://www.nta-monitor.com/wiki/index.php/Ike-scan_User_Guide#Trying_Different_Transforms "로 변환속성 확인

# ike-scan -M --trans=5,2,1,2 --showbackoff 192.168.10.99

아쉽게도 위 명령어로 핑거프린팅하진 못했다. 그럼 속성을 변환하면서 하면 되지 않을까? ^^;

(2) 취약점 찾기

* ping : ICMP 프로토콜에 ECHO REQUEST 패킷을 전송한다.

# ping -c 2 -s 1000 10.0.2.2 ( ECHO 패킷수 2, 패킷크기 1000 )

* arping : 목적지 호스트가 LAN에 위치할 때 주소결정프로토콜( ARP : Address Resolution Protocol )요청하여 목적지를 확인

 - OSI Layer 2( 네트워크 계층 )에서 동작하며 로컬 네트워크에서만 사용가능

 - ARP는 라우터나 게이트웨어 밖으로 라우팅될 수 없다.

 - 응답 값으로 해당 IP의 MAC주소를 알 수 있다.

# arping -c 3 10.0.2.2

* arping2 : 타겟 호스트에 ARP or ICMP 요청 전송하는 툴

 - bt4에는 백트랙 메뉴에 없으나 /pentest/misc/arping/arping2에 존재한다.

# ./arping2 -c 3 192.168.1.1

# ./arping2 -c 3 00:17:16:02:b6:b3

* fping

* genlist

* hping2

* hping3

* lanmap

* bping : 다양한 프로토콜( TCP, UDP, ICMP, ARP ) 네트워크 패킷생성할 수 있게 해주는 최신 툴

 - 핑과 유사하게 호스트 탐지 가능, 네트워크 스택 스트레스 테스트, ARP오염( posisoning), 서비스 거부 등의 목적 사용 가능

 - bt4 에서는 nmap 패키지에 포함

 - 아래 명령어로 사용한다. SYN 플래그를 설정한( --flags SYN ) 하나의 TCP 패킷 ( --tcp -c 1 )을 IP 주소 10.0.20.100의 목적지 포트 22( -p 22 )로 전송한다.

#nping -c 1 --tcp -p 22 -flags syn 10.0.20.100

* onesixtyone : 간이 망 관리 프로토콜( SNMP ) 스캐너로 장비에 SNMP 문자열이 존재하는지 조사

 - SNMP : Simple Network Monitoring Protocol 

 - 아래 명령어로 사용

# onesixtyone 192.168.1.1

# onesixtyone -d 192.168.1.1  ( 더 자세히 알고 싶다면 -d 옵션을 준다. ) 

* p0f : OS핑거프린팅; 타겟머신의 운영체제를 알아내는 것. 능동/수동 두가지 방식이 있다.

 - 수동으로 핑거프린팅할 때 사용

 - 아래 명령어로 실행하면 log파일에 기록이 남으며, 기록하는 중에 TCP연결을 수바나는 네트워크 활동을 생성해야 한다.

 - 아래 명령어 입력하여 사용

#p0f -o p0f.log

* xprobe2 : OS핑거프린팅 ( 능동 방식 )

 - 퍼지 시그니쳐 매칭, 확률적 추측, 동시다발적 매칭, 시그니쳐 데이터베이스를 사용해서 운영체제를 알아낸다.

 - 포함된 모듈 : icmp_ping, tcp_ping, udp_ping, ttl_calc, portscan, icmp_echo, icmp_tstamp, icmp_amask, icmp_port_unreach, tcp_hshake, tcp_rst

 - 아래 명령어로 사용

# xprobe2 10.0.2.100

 - 만약 추측한 결과가 잘못되었을 경우, 데이터베이스를 최신버젼으로 갱신하지 않았기 때문.

노먼 리차드, 샘 그리피스 주니어 저 |양재영, 김명희, 신장섭 역 |위키북스 |2011.07.07

jBoss에 대해 잘 모르기 때문에 독서하듯 그냥 훑어 읽엇다. ( 큰 가닥만 보면서 읽었다. )

jBoss가 어떤 기능을 하고 있는지 중요한 요소가 무엇인지 보고, 서버를 구축함에 있어 어떤 게 필요한가에 대해서 읽었다.

Detail Contents은 두 세권을 더 보면서 익힐 예정이다.

jBoss는 J2EE에서 사용되는 EJB와 관련이 있는 WAS이다. WAS는 웹 애플리케이션 서버이다.

웹 애플리케이션 서버는 일반적인 웹 서버라 생각하면 된다. 우리가 흔히 사용하는 네이버와 같은 포털 웹서버 말이다.

( 헷갈릴 듯 한데, Web Server 는 정적, WAS 는 동적으로 보통 Web Server가 WAS보다 앞 부분에 붙어있다. )

제이보스(JBoss)는 자바를 기반으로 하는 오픈 소스 미들웨어의 총칭이다. 대표적으로 Java EE 스펙을 지원하는 제이보스 애플리케이션 서버가 있다.

jBoss는 대표적으로, 톰켓 + EJB( MBean ) + JSP + DB + Console + 을 활용할 수 있다.

java를 사용해서 웹 서버를 만들려면 기본적으로 JSP, Java Beans, Oracle, Tomcat을 활용한다.

바닥부터 하나씩 만들고 싶다면, 기본적인 방법으로 접근해도 된다.

소프트웨어를 어느정도 만들어 본 사람이라면, 이미 잘 만들어진 것을 잘 활용하는 것도 엔지니어의 능력 중 하나이다.

물론 만들어진 모듈의 기능을 제대로 알고 잘 활용해야 하는 것은 당연 것이니, 무조건 다른 모듈을 쓴다고 좋은 것은 아니다.

그런면에서 jBoss는 웹 어플리케이션 서버를 구축에 필요한 프로젝트 모음집으로, 잘 익혀서 활용하면 좋은 결과가 나올 것 같다.

이 책에서 가장 매력적으로 보였던 부분은 MBean의 값을 모니터링 할 수 있다는 것과 파라메터 in/out 값에 대해 테스팅 할 수 있는 환경을 제공해주는 프로젝트였다.

주요 기능의 개념 검증도 있다.

 - EJB 3 기능 테스트, JMS 기능 테스트, 하이버네이트 기능 테스트, 분산 트랜잭션 기능 테스트, 세션 클러스터 기능 테스트, 실패극복( Fail-Over ) 기능 테스트 

* 클래스 다운로드 서비스 제거

클래스 다운로드 서비스를 그대로 두면 외부 클라이언트에서 서버의 클래스를 볼수 있게 된다.

http://localhost:8083/org/jboss/security/ClientLoginModule.class에 접속하면 잠재적인 위험성을 확인할 수 있다.

 기타 자세한 내용들은 각 모듈을 연결시키거나 각 모듈을 사용하기 위한 글이었다.

이 책을 통해서 jBoss가 대체적으로 어떤 기능을 하고 어떻게 동작하는지 알 수 있었다.

[ jBoss 주요 프로젝트 목록 ]

• JBoss Application Server
• JBoss Web
• JBoss ESB
• JBoss Messaging
• JBoss jBPM
• JBoss Transactions
• JBoss Web Services
• JBoss Tools
• JBoss Cache
• JGroups
• Mobicents
• Hibernate
• JBoss RichFaces
• JBoss Ajax4jsf
• JBoss Portal
• JBoss Seam
• JBoss EJB3
• JBoss AOP
• JAAS

허태균 저 |쌤앤파커스 |2012.02.10

이 책을 보고 난 후 이렇게 결론을 냈다.

'착각하며 살아라. 단, 현명하게 착각해라'

일반적으로 '착각'이라는 단어를 떠올리면, 다음으로 생각나는 문장은 '착각 하지마'는 말이다.

'내 말이 맞고, 당신이 틀렸다.' 부터 시작된 것은 아닐까? ( 당신은 아니라고 착각 하지마라 )

모든 사물을 바라볼 때, 자신을 기준으로 본다. 자신은 절대 객관적이라 착각하면서 사물에 대해 평가한다.

그 절대 객관적이라는 진실이 또한 진실일까? 그 진실을 실제로 모두 확인한 자료인가? 아니면 어느 이름있는 사람의 주관인가? 그러면 그 사람의 주관은 착각이 아니라는 증거를 제시할 수 있는가?

이 책에서 예를 들어준 착각 중에 현재 뇌리에 스치는 것은 '사랑'이라는 단어다.

'사랑'이란 부분에 대해 착각하고 깨어난다는 것.

좀 더 나아가서 '사랑'이라는 것은 사람이 가진 가장 흔하고 중요한 감정이다.

마지막에 언급되었던 '행복'이란 단어다.

간단하게 정리해서 말한다.

'착각'했기 때문에 사랑했고, '착각'으로 인해 행복할 수 있는 것이다.

난 이 책을 끝까지 보고나서 눈물이 났다. ( 에필로그에서 핑~ 했다. )

나는 내 기억과 연관성을 가끔 조작한다. 왜? 착각하려고. 왜? 행복하게 살기 위해서다.

내가 하는 심리적 기제가 이기적인 착각이라는 것에 대해 알았고, 좀 더 개념적으로 정리가 된 것 같다.

[ 이걸 느끼고 나니, 독서모임에서 이걸 보자고 한 것이 미안해졌다. 표현하지 않겠지만 어느 누군가는 우울해질수도 있으니까. 그래서, 재미 없다고 했다. 다 읽지 말라고. ]

< 미안한 마음에 보너스 하나 >

이제 이 책을 읽으면서 기억에 남는 글귀들을 정리해 볼려고 한다.

이 책을 읽으면서 유난히 사랑에 대한 예문이 눈에 들어왔다.

오랜만에 긴 글도 쓰고 스스로 통찰해보는 좋은 시간이었다.

마지막으로 한마디,

'난 당신에게 항상 도움주기 위해 노력하는 사람입니다.'

- 나에 대해서 긍정적으로 착각하세요. ^-^

이 책에서 말하고자 하는 것이 뭘까.

한 단어로,

소통.

두 단어로,

타자의 천균.

한 마디로,

잊어라, 그리고 연결하라.

어렵게 말하면, ( 책에서 나온 용어로 )

심재하여, 코나투스로 도추하라. 

이 책을 보면서 기억에 남는 용어들을 간단하게 정리 했다.

• 아나키즘 : 개인의 자유를 최상의 가치로 내새우고, 그에 대한 모든 억압적인 힘에 부정하는 사상,
  그런 사상을 지닌 사람을 아나키스트 칭함.
  아나키스트를 관점에 따라 혁명가, 활동가, 테러리스트라 호칭한다.
  무정부주의라 부르기도 한다.
• 타자 : 타인의 자아를 가르킴, 반-코기토 ( 코기토 : 자신의 존재를 가르킴 )
• 천균 : 원의 중심, 기준이 되는 것을 말한다.
• 도추 : 문, 내부와 외부를 연결해주는 회전문과 같은 것을 가르킨다.
  각각의 자아는 천균이 있고 그 천균 사이( 내/외부 ) 를 이어주는 연결 통로를 말한다.
• 성심 : 내면화된 공통체의 규칙, 구성된( 성 ) 마음 ( 심 )
• 심재 : 마음의 재계, 망각과 비움, 마음을 단정히 정리하고 깨끗하게 한다는 의미
• 코나투스 : 자유의 공간, 자기앞을 비워두워서 다른 누군가 편히 있을 수 있도록 하는 공간
• 주종관계 : 상호의존과 그들을 결합시키는 서로의 욕구로 성립한다.

소통이라는 주제를 가지고 철학적으로 풀어낸 책이다.

생소한 단어들이 많아서 읽기에는 어려움이 있었지만,

철학이란 다른 시야에서 소통을 하기 위한 준비가 무엇인지 알수 있었다.

주요 이야기는 다른 사람이 무엇을 생각하는지 무엇을 원하는지 알아야 소통이 원할하게 할 수 있다는 것이다.

그러기 위해서 타인에 대한 선입견과 나를 망각하고 비우고 타자로 들어가는 것이다.

이 책에서는 나와 있지 않지만, 타자의 천균이 되기전에 자신의 자아를 깊이 볼줄 아는 눈이 필요하다는 생각이 든다.

소통을 위해 코기토를 버리고 반-코기토가 된 후, 다시 기존의 코기토로 돌아와야할 때, 돌아 올 곳을 찾지 못한다면 매우 위험하기 때문이다. 다르게 말해서, 정체성을 잃어버릴 수 있다.

타자로 들어가기 전에, 본인의 존재를 확고하게 느껴둘 필요가 있다.

간단한 질문으로 '나는 누구인가?' 라는 질문에 대답할 수 있어야 할 것이다.

이 책의 명제에 덧 붙이자면,

"코기토 에르고 줌, 잊어라, 그리고 연결하라" ( 코기토 에르고 줌 : 나는 생각한다. 고로 나는 존재한다. )

좀 더 풀어서 이야기 하면 아래와 같다.

"자신을 버리기 위해서 깊은 자존감이 필요하다. 그 다음, 나로부터 해방되어 타인의 중심에서 바라보라."

리드 호프먼, 벤 캐스노차 저 |차백만 역 |알에이치코리아 

차드 멍 탄 저 |권오열 역 |알키 

이 책을 본지 한달이 넘은것 같은데, 이제서야 정리를 하는구나 ^^;

이 책의 저자는 구글 엔지니어다. 본인이 명상을 배우고 나서 느낀 것을 주변 사람에게 널리 알리고 싶은 마음에 책을 쓴 것이다.

이 책의 내용을 한 단어로 줄인다면 '마음챙김'이다. '마음챙김'이 명상의 시작이다.

이 책의 내용을 한 문장으로 줄인다면 '나를 다스린다'로 말할 수 있다.

책의 표지에는 감정 조절 프로그램이라 홍보하고 있다.

다 보고 나서 느낀 것은 그 홍보 내용이 정말( 사실 )이라는 걸 알 수 있었다.

처음에 이 책이 명상에 관한 책인 줄 몰랐다.

단지 홍보문구에 홀린듯 감정을 다스리고자 이 책을 폈다.

( 아버지가 추천 해 준 책이라서 사실 더 끌렸다.. ^^; )

큰 목적을 이루기 위해서 큰 시작이 필요한 것은 아니다.

마음 챙기는 법, 정신을 집중하는 법, 감정을 느슨하게 하는 법.

생각보다 어려운 것이 아니였다. 

평소에 아무렇지도 않게 생각하던 호흡이 이렇게 큰 역할 하는지 이번에 깨달았다.

내 옆에 가까이 있지만, '인지 하지 못하는 것이 또 있을까' 하는 생각을 또 다시 일깨워준 좋은 내용이었다.

애써서 마음을 가다듬으려, 집중하려 하지 않고, 가벼운 마음으로, 2분동안 숨쉬는( 들숨/날숨 )에 집중한다.

불필요한 잡념은 사라지고, 머리가 맑아 지는 것을 느낄 수 있다.

이책 을 보고나서

여러 트레이닝 해 본 후, 나한테 적절한 방식으로 ( 혼합하여 ) 바꿔보았다.

이 호흡을 활용하여 마음도 몸도 휴식을 취할 수 있다.

먼저 마음챙김( 2분간 숨쉬기 집중 )을 한 후, ( 마음챙김 )

몸의 곳곳의 긴장된 부분을 순환하면서 호흡을 한다. ( 휴식 )

불필요한/필요한 여러 생각들이 지나가도록 내버려 둔다. ( 상황인식 )

좋은/나쁜 사건들에 대해 당시 내가 느꼈던 감정을 꺼내어 느껴본다. ( 감정인식 )

들숨일 때, 안좋은 기운을 받아 들이고, 날숨에 좋은 기운으로 내보낸다. ( 정화 )

스스로 상처 받았던 곳에 집중하여 천천히 호흡한다. ( 치유 )

다시 현실로 돌아오기 위해 마음챙김을 한다. ( 마무리 )

위 방식대로 하는 것은 아니지만, 때에 따라서 잘 복합하여 사용하면 좋은 것 같다.

내가 주로 사용하는 마음챙김과 명상은

- 머리가 지끈할 때,

- 몸의 근육/뼈 부분의 이완이 필요할 때,

- 주변 상황을 인식할 때,

- 기분이 상할 때,

- 걸을 때나 주변 경치 감상할 때,

- 책보다 졸릴 때,

- 영어단어 외울 때,

대략 이럴 때 사용한 듯 하다.

호흡과 같이 아주 가까이 있지만,

내가 인지하지 못하는 게 있을까 천천히 주변을 둘러 봐야겠다.

보물은 생각보다 멀리 있지 않다. 연금술사에서 이미 느꼈듯이.

이상건 저, 김&정 출판

104페이지로 이루어져있어서 가볍게 볼수 있어서 좋았다.

41가지의 좋은 내용으로 담겨져 있었다.

그 중 가장 마음에 들었던 부분은,

나에겐 엄격한 기준으로 대하고 타인에겐 너그럽게 대한다는 내용이었다.

전에는 나에게도 엄격하고, 타인에게도 엄격했었다.

근래에 들어서는 난 나에게도 너그럽고 남에게도 너그러운것 같다.. ^^;;

이걸 잘 절충해서, 나에게는 엄격하고, 타인에겐 너그럽게 되어야 하는데 어렵다.

내가 잘 알지 못하는 부분에 대해서는 신중해야 한다.

내 손안에 한 마리새가 숲의 열마리 새보다 낫다고 한다.

투기와 투자를 잘 구분해야 한다.

투기는 사람들의 심리를 예측하여 물건을 매수 하는 것이고, 투자는 현재와 미래가치를 평가하여 물건을 매수하는 것이다.

주식을 예측할 수 있는 것은 단 한가지다.

주식은 항상 변동된다는 것이다.

이 책 내용 자체가 핵심만을 모아 놓은 책이라, 이 책의 핵심을 다 적으려면 다 보고 써야 할 것 같다 ^^;

그 많은 좋은 글귀 중, 내게 와닿는 내용을 정리해 보았다.