- Press Win+R to open Run.
- Type in regedit and click OK.
자동로그인 netplwiz , 시작프로그램 shell:startup , 제어판 control , 윈도우 원격제어 mstsc
레지스트리.pdfhttp://cafe.daum.net/coffeesoul/nGlk/134?q=%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC
[클라이언트 보안][윈도우 보안] 레지스트리 활용
https://youtu.be/4Ek-SGWdZ5Y
Windows 98에서는 레지스트리 파일 이름이 User.dat와 System.dat이고 Windows Millennium Edition에서는 Classes.dat, User.dat 및 System.dat입니다.
참고 Windows NT, Windows 2000, Windows XP, Windows Server 2003 및 Windows Vista의 보안 기능을 통해 관리자는 레지스트리 키에 대한 액세스를 제어할 수 있습니다.
다음 표에는 시스템에서 사용하는 미리 정의된 키가 나열되어 있습니다. 키 이름의 최대 크기는 255자입니다.
| 폴더/미리 정의된 키 | 설명 |
| HKEY_CURRENT_USER | 현재 로그온되어 있는 사용자에 대한 구성 정보의 루트가 포함됩니다. 사용자의 폴더, 화면 색상 및 제어판 설정이 여기에 저장됩니다. 이 정보는 사용자 프로필과 관련됩니다. 이 키는 "HKCU"로 간략히 표시되기도 합니다. |
| HKEY_USERS | 컴퓨터에서 로드된 모든 사용자 프로필이 포함됩니다. HKEY_CURRENT_USER는 HKEY_USERS의 하위 키입니다. HKEY_USERS는 "HKU"라고 간략히 표시되기도 합니다. |
| HKEY_LOCAL_MACHINE | 컴퓨터에 특정한 구성 정보가 포함됩니다(임의의 사용자에 해당). 이 키는 "HKLM"으로 간략히 표시되기도 합니다. |
| HKEY_CLASSES_ROOT | HKEY_LOCAL_MACHINE\Software의 하위 키입니다. 여기에 저장되는 정보는 Windows 탐색기를 사용하여 파일을 열 때 올바른 프로그램이 열리도록 합니다. 이 키는 "HKCR"로 간략히 표시되기도 합니다. Windows 2000에서 시작하는 경우 이 정보는 HKEY_LOCAL_MACHINE과 HKEY_CURRENT_USER 키에 저장됩니다. HKEY_LOCAL_MACHINE\Software\Classes 키에는 로컬 컴퓨터의 모든 사용자에게 적용할 수 있는 기본 설정이 포함됩니다. HKEY_CURRENT_USER\Software\Classes 키에는 기본 설정을 무시하고 대화형 사용자에게만 적용되는 설정이 포함됩니다. HKEY_CLASSES_ROOT 키는 이 두 소스의 정보를 병합하는 레지스트리 뷰를 제공합니다. HKEY_CLASSES_ROOT는 이전 버전의 Windows용으로 설계된 프로그램에 대해서도 이러한 병합된 뷰를 제공합니다. 대화형 사용자에 대한 설정을 변경하려면 HKEY_CLASSES_ROOT에서가 아니라 HKEY_CURRENT_USER\Software\Classes에서 변경해야 합니다. 기본 설정을 변경하려면 HKEY_LOCAL_MACHINE\Software\Classes에서 변경해야 합니다. HKEY_CLASSES_ROOT에 있는 키에 값을 쓰는 경우 시스템은 HKEY_LOCAL_MACHINE\Software\Classes에 정보를 저장합니다. HKEY_CLASSES_ROOT에 있는 키에 값을 쓰고 해당 키가 이미 HKEY_CURRENT_USER\Software\Classes에 있는 경우 시스템은 HKEY_LOCAL_MACHINE\Software\Classes에 정보를 저장하지 않고 HKEY_CURRENT_USER\Software\Classes에 정보를 저장합니다. |
제목 : 레지스트리 분석하기
사용 환경 : Windows 7 |
기본 설명
많이 사용되는 윈도우 환경에서 레지스트에 대해 알고 이를 포렌직 관점에서 활용할 수 있는 방향을 알아보도록 합시다. |
내용
개요
윈도우 레지스트리(Windows Registry)
마이크로소프트에서는 윈도우 레지스트리에 대한 정의를 Microsoft Windows 98, Windows CE, Windows NT 및 Windows 2000에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는 데 필요한 정보를 저장하는 중앙 계층형 데이터베이스로 정의 합니다.
자세한 내용은 (http://support.microsoft.com/kb/256986) 를 통해 확인 하시면 되겠습니다.
레지스트리 포렌식 분석의 필요성
윈도우시스템분석의필수요소
운영체제정보, 사용자계정정보, 시스템정보, 응용프로그램실행흔적, 최근접근문서등
자동실행항목(Autoruns) 분석, 악성코드탐지
저장매체사용흔적분석(하드디스크, CD-ROM, USB 등)
사용자/시스템/저장매체사용흔적분석추가적인포렌식분석대상선별
온라인(On-line) 레지스트리분석
활성 시스템에서의 레지스트리 분석하며 RegEdit(regedit.exe), RegEdt32(regedt32.exe)를 이용합니다.
자세한 내용은 (http://support.microsoft.com/kb/141377) 참고 하시면 됩니다.
오프라인(Off-line) 레지스트리분석
비활성 시스템(포렌식 복제 드라이브나 이미지)에서의 레지스트리 분석(우리가 밑에서 진행할 부분입니다.)
레지스트리 하이브(Hive) 파일의 수집이 필요
OS버전 별 Hive 파일의 정확한위 치를 알아야함
포렌식 분석은 대부분 오프라인 레지스트리 분석을 대상으로 함
하이브(Hive) 파일
하이브파일
레지스트리 정보를 저장하고 있는 물리적인 파일
키(Key) 값들이 논리적인 구조로 저장
활성 시스템의 커널에서 하이브 파일을 관리
- 일반적인 방법으로는 접근 불가
하이브셋(Hive Set)
활성 시스템의 레지스트리를 구성하는 하이브 파일 목록
SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat, BCD, COMPONENTS 등
구성
HKEY_CLASSES_ROOT를 비롯하여 5개의 가장 상위키(=루트키)를 가짐.
각 루트키 아래의 하위키부터 그 아래의 모든 하위 키를 포함 하는 트리 구조를 하이브(Hive)라고 함
각각의 하이브는 저마다 고유한 저장장소(파일)와 로그 파일을 갖고 있음.
루트키
HKEY_CLASSES_ROOT(HKCR)
파일 확장자에 대한 정보 ,각 파일과 프로그램간의 연결에 대한 정보, 마우스 오른쪽 단추의 등록 정보 등
모든 형식의 파일 확장자가 sub key 형태로 구성되어 있음
HKLM\SOFTWARE\Classes키에 동일하게 저장 되어 두 곳이 연동됨, 생성 및 삭제가 같이 이루어짐.
파일연관성과COM(Component Object Model) 객체 등록 정보
HKLM\SOFTWARE\Classes 와 HKU\<SID>\Classes 모음
별도의 하이브를 가지지 않고 다른 루트키의 하위키로 구성된다.
어플리케이션 바인딩을 할 수 있다.
http://forensic-proof.com/archives/294
HKEY_CURRENT_USER(HKCU)
현재 시스템에 로그인 된 사용자의 사용자 프로파일 정보
현재 로그인중인 사용자들에 대한 등록 정보(사용자의 배경화면, 디스플레이 설정이나 단축 아이콘의 정보 등), 응용 프로그램의 우선 순위,보안 접근 허용 여부
HKU 아래 사용자 프로파일 중 현재 로그인한 사용자의 하위키
하위키 : 설명
AppEvents : 사운드, 이벤트 관련 키
CLSID : COM 객체 연결 정보
Console : 명령 프롬프트 윈도우 설정 정보(가로, 세로크기, 색상등)
ControlPanel : 데스크 탑 테마, 키보드/마우스 세팅 등의 환경 설정 정보
Environment : 환경변수정의
EUDC : 최종 사용자가 정의한 문자 정보
Identities : 윈도우 메일 계정 정보
KeyboardLayout : 키보드 레이 아웃 설정 정보
Network : 네트워크 드라이브 매핑 정보, 환경설정 값
Printers : 프린트 연결 설정
Session Information : 작업 표시줄에 표시 되는 현재 실행되는 프로그램 설정
Software : 로그인 한 사용자 소프트웨어 목록
System : HKLM/SYSTEM 하위키의 일부(Control, Policies, Services)
UNICODE Program Groups : 로그인 한 사용자 시작 메뉴 그룹 정의
Volatile Environment : 휘발성 환경 변수
HKEY_LOCAL_MACHINE(HKLM)
시스템의 하드웨어, 소프트 웨어 설정 및 다양한 환경정보
하드웨어 구성 초기화 파일, 제어판과 밀접
사용중인 하드웨어 및 소프트웨어에 대한 정보
로그온 한 사용자와 관계없이 컴퓨터에 등록된 모든 사용자에게 동일
시스템에 존재하는 하이브 파일과 메모리 하이브 모음
하위키 : 내용
BCD00000000 : Boot Configuration Data 관리(XP의Boot.ini 대체)
COMPONENTS : 설치된 Components와 관련된 정보 관리
HARDWARE : 시스템 하드웨어 디스크립션과 모든 하드웨어의 장치 드라이버 매핑 정보(Volatile hive)
SAM : 로컬 계정 정보와 그룹 정보(시스템 계정만 접근 가능)
SECURITY : 시스템 보안정책과 권한 할당 정보(시스템 계정만 접근 가능)
SOFTWARE : 시스템 부팅에 필요 없는 시스템 전역 구성 정보(소프트웨어 정보)
SYSTEM : 시스템 부팅에 필요한 시스템 전역 구성 정보
• 부팅 시 HKLM\SYSTEM 하이브는 물리 메모리로 로드 되기 때문에 하이브 파일 크기에 제한
HKLM\SYSTEM\CurrentControlSet
- 디바이스 드라이버와 서비스 등 시스템 환경 설정 정보
- ControlSet00N에 대한 링크
- Select 키의 Current 값에 따라 현재 사용 중인 ControlSet 확인
HKEY_USERS(HKU)
시스템의 모든 사용자와 그룹에 관한 프로파일 정보
이전 사용자 초기화 파일을 보관
두 키 사이가 겹치면 HKEY_CURRENT_USER가 우선시 된다.
사용자 루트 폴더에 존재하는 NTUSER.DAT 파일의 내용이다.
모든 사용자의 프로파일과 사용자 클래스 등록 정보이다.
HKEY_CURRENT_CONFIG(HKCC)
시스템이 시작할 때 사용되는 하드웨어 프로 파일 정보
현재 사용중인 윈도의 디스플레이(화면 글꼴이나 해상도) 정보와 프린터 관련 정보
HKLM\Config키의 내용과 같음
HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의 내용
별도의 하이브 파일을 가지지 않는다.
현재 활성화 되어 있는 하드웨어 프로파일 정보 참조
HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의 링크이다.
HKEY_PERFORMANCE_DATA(HKPD)
성능 정보를 저장
성능 카운트(레지스트리 편집기를 통해 접근 불가, 레지스트리 함수로만 접근)
HKPD 성능카운터 : http://msdn.microsoft.com/en-us/library/aa371643(v=vs.85).aspx
시스템의 성능을 측정하여 관리하는 메커니즘운영체제, 응용프로그램에서 활용
레지스트리 편집기를 통해 접근불가
RegQueryValueEx()와 같은 레지스트리 함수를 통해 접근가능
이 외에 자세한 레지스트리 내부를 확인 하고 싶으신 분들은
http://forensic-proof.com/slides 의 [FP] 레지스트리 포렌식과 보안 (Registry Forensics & Security)를 참고 하시면 됩니다.
기본 시스템 정보 확인
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
기본 시스템 정보확인이 가능하다.
ProductName : 운영체제 이름
Owner : 사용자 이름
Organization : 조직 이름
ProductId : 운영체제 식별자
BuildLab(Ex) : 운영체제 세부 버전
InstallDate : 운영체제 설치 날짜(유닉스 시간 형식)
SystemRoot : 운영체제 설치 루트 폴더
cmd 창에서 systeminfo 를 활용하여 활성정보 수집을 진행 할 수 있다.
컴퓨터 이름 확인
HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName
ComputerName 를 확인 하면 시스템 속성에 있는 컴퓨터 이름을 확인 할 수 있다.
시스템 마지막 종료 시간
HKLM\SYSTEM\ControlSet00X\Control\Windows
ShutdownTime–마지막 종료 시각 저장된다.
대신 인코딩이 되어 있기 때문에 디코더를 이용하여 OS버전과 맞춰 확인 해야한다.
아래 링크를 통해서 프로그램을 받고, ShutdownTime 데이터를 Value to Decode에 입력하고 Decode를 하게 되면
Date & Time에 출력된다. ( 아래 2013년 11월 28일 목요일 06:44:24 UTC에 종료 된 기록을 알 수 있다. )
http://www.digital-detective.co.uk/freetools/decode.asp
응용 프로그램 사용 로그 확인
Windows 2000/XP/Vista
•{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count
•{75048700-EF1F-11D0-9888-006097DEACF9}\Count
Windows 7
•{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
•{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count
값 이름의 경우 ROT 13으로 인코딩이 되어 있다.
http://web.forret.com/tools/rot13.asp 사이트에서 디코딩을 해서 보게 되면 내용을 알 수 있다.
아래 그림의 경우 4개의 값을 동시에 넣고 확인 해보니 4개의 정보가 출력 되었다.
응용 프로그램 종류, 최종 실행 시각, 실행 횟수, 세션 아이디 확인 가능하다.
하나의 값을 분석 해보도록 하자.
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count
값을 ROT 13 디코딩을 하면 아래 와 같이 Internet Explorer.lnk 동작한 것을 알 수 있다.
그림판 파일 목록 확인
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List
File번호가 낮을 수록 최근 열어본 파일이다. - 그리판 종료 시점에 저장된다.
아래 그림을 보면 File1이 레지15png.png 인걸 알 수 있다.(먼저 작업한 건 레지 7,8,9 .... 14,15 순서이다.)
MS OFFICE 사용 흔적 확인
각 응용 프로그램 및 버전 별로 다양한 흔적 저장된다.
최근 열린 폴더, 최근 사용한 파일, 최근 사용한 페이지, 최근 접근한 URL 등등 확인 할 수 있다.
최근열린폴더 : HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\Place MRU
최근사용한파일 : HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\File MRU(Recent Files)
한글 사용 흔적
최근 사용한 파일
한글2005 : HKU\{USER}\SOFTWARE\HNC\Hwp\6.5\RecentFile
한글2007 : HKU\{USER}\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile
한글2010 : HKU\{USER}\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile
찾기/ 바꾸기 목록
HKU\{USER}\SOFTWARE\HNC\Hwp\FindReplace\Find
곰플레이어 사용 흔적
HKU\{USER}\SOFTWARE\GRETECH\GomPlayer\OPTION
최근 열린 폴더, 최근 사용한 파일 목록, 다양한 설정 정보 저장
아래 그림과 같이 sRecentFolder을 보게 되면 최근에 Gomplayer로 보았던 경로가 표시된다.
Adobe Acrobat PDF 사용 흔적
HKU\{USER}\SOFTWARE\Adobe\Adobe Acrobat\{version}\AVGeneral\cRecentFiles
HKU\{USER}\SOFTWARE\Adobe\Acrobat Reader\{version}\AVGeneral\cRecentFiles
cRecentFiles에서 c1,c2도 마찬가지로 역순으로 c1이 가장 최근, c2가 2번째 최근.. 순으로 표시 되는걸 알 수 있다.
이 외에도 다양한 어플리케이션에 대해 접근 하여 확인 해보도록 하자.
Windows 2000/XP 검색어목록
윈도우 2000/XP 탐색기에서 검색을 사용 할 경우 검색어 목록
HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\####
인터넷검색
- HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5001
모든파일및폴더검색
- HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603
파일에들어있는단어나문장/그림, 음악또는비디오검색
- HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5604
프린터, 컴퓨터또는사람/네트워크에있는컴퓨터/컴퓨터찾기검색
- HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5647
Windows 7
HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
아래 보시다 싶이 검색한 내용을 알 수 있다. 가장 최근에 검색한 부분이 표시된다.
MRUListEx 키 값을 통해 검색어 사용 순서 확인 가능 하다.
최근 열어본 파일
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\RecentDocs
Windows Explorer를 통해서 최근에 Open된 파일의 목록을 기록하고 있음
이 키는 %USERPROFILE%\Recent (My Documents, 내 최근 문서)와 동일
이 키는 해당 Local 또는 Network 파일을 포함하고 있으며 파일명 만을 Binary 형태로 기록하고 있음
OpenSaveMRU 키와 같이 파일 확장자로 구분되어 있음
Subkey “ Folder”는 최근에 Open한 파일의 폴더(Drive 문자 표시, 부모 폴더가 없는 해당 파일의 폴더) 목록을 유지함
이것 역시 MRUListEx를 키값을 통해 열어본 순서 확인이 가능하다.
최근 실행한 명령
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\RunMRU
[시작]->[실행]에서 수행하여 기억하고 있는 명령어(ex: cmd, regedit, 등) 목록
이 키에서 명령어 목록을 삭제하더라도 실행의 command box에 남아있는 history list 가 삭제되지 않으며, Windows 의 시작 > -로그오프 또는 컴퓨터 끄기를 클릭했을 때 삭제됨
초기 분석이 이루어져야 하는 부분
MRUList를 통해 순서를 확인 할 수있다. 데이터를 보게 되면 사용 했던 명령어를 볼 수 있다.
USB 저장 매체 인식 절차
1. USB 저장 매체가 연결 되면 버스 드라이버는 PnP 관리자에게 장치의 고유한 식별번호(device descriptor)를 사용하여 연결 알림
- device descriptor : 제조사, 일련번호, 드라이버 정보 등을 포함한다.
2. PnP 관리자는 받은 정보를 기반으로 Device Class ID를 설정 하고 적절한 드라이버 검색
3. 드라이버가 없을 경우 사용자 모드의 PnP 관리자는 해당 장치의 펌웨어로 부터 드라이버를 전달 받아 로드하고 레지스트리에 기록
HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{DID, device class identifier}
HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID}
4.장치 드라이버 설치 과정은 로그파일에 저장된다.
결과적으로 로그파일(setupapi.log) 및 레지스트리를 통해 USB 장치의 흔적 파악 가능하다.
레지스트리 키 마지막 수정 시간 정보 확인 시 주의사항
각 레지스트리 키에는 해당 키의 마지막 수정 시간이 저장
마지막 수정 시간 정보를 활용하여 USB의 다양한 흔적 파악 가능
단, Enum\USB, Enum\USBSTOR 하위키의 시간은 고려되지 않아야 함
보안정책에 의해(윈도우Vista/7) PnP 관리자가 하위키 보안 토큰 설정을 위해 수시로 접근
SetupAPILogging
windows 2000/XP : %SystemRoot%\Setupapi.log
Windows 7 : %SystemRoot%\inf\Setupapi.dev.log
윈도우시스템에서 외장형 저장장치 흔적을 확인하기 위해선 대표적으로 System 레지스트리와 setupapi.log파일을 분석하며, 아래와 같은 정보를 얻을 수 있다.
- 볼륨명
- 시리얼넘버
- 볼륨 GUID
- Product ID
- 최초연결 시간
- 부팅 이후 최초 연결 시간
- 마지막 연결 시간
- 마지막 연결 해제 시간
- 저장매체를 사용한 사용자 계정
외장형 저장장치(setupapi.log)
윈도우 시스템은 운영체제가 설치되는 시점부터 연결되는 모든 장치들에 대한 설치과정 (드라이버 설치 등)을 setupapi.log 파일에 저장함 2000/XP %SystemRoot%\Setupapi.log
Vista/7 %SystemRoot%\ inf\Setupapi.dev.log
- DISK&VEN_[제조사명]&PROD_[제품명]&REV_[버전번호]
- [시리얼번호]&#
- 시리얼 번호가 없을 시 : #&[PnP 관리자 생성 번호]&#
HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR
USB 장치 정보 저장
USBSTOR의 Subkey를 분석할 경우 이미 해당 시스템에 서 사용하거나 사용했던 USB 장치를 확인할 수 있음
Device Class ID : Disk&Ven_XXX&Prod_XXX&Rev_XXX
제조사, 제품명, 버전을 알 수 있음
Unique instance ID : USB 장치의 Unique ID로서 동일 Device Class ID 를 갖더라도 장치별로 구별됨
HKLM\SYSTEM\MountedDevices 를 참조하여 어떤 USB 장치가 어떤 드라이브(C:, D:,,,)에 mount 되어 있는지 확인 할 수 있음
(Unique instance ID\ParentIdPrefix 키 이용)
Device Class ID 하위키의 Unique Instance ID 형식을 통해 시리얼 번호, USB뿐 아니라 외장 하드도 확인 가능하다.
FriendlyName
장치명이 설정 된 경우 : 설정한 장치 명
장치명이 설정 되지 않은 경우 : 연결된 볼륨명
증거에 조금 더 효과적인 방향을 제시하기 위해 레지스트리 분석을 진행 하는 부분도 있을 수 있습니다. 이때 모든 레지스트리 분석도 알면 좋겠지만 최소한 아래 내용들은 포함할 수 있을 정도로 숙지하면 도움이 될 것으로 생각됩니다.
위에 언급되어 있는 부분
마. 윈도우 검색 정보
바. 최근 접근 흔적 - 열어본 파일/명령
사. USB 장치 연결 정보(USB, 볼륨)
+ 아래 내용들
최근에 열었거나 ,실행, 수정한 문서에 대한 사용 흔적
최근 열었던 기록
2000/XP
HKEY_USER\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\OpenSaveMRU\[확장자]
Vista/7
HKEY_USERS\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\OpenSavePidMRU\[확장자]
최근 Open되거나 Save된 파일 목록을 기록 유지
Windows 에서 기본으로 제공되는 Open/Save Dialog Box에 의해서 Open되거나 Save 된 파일을 대상으로 함
Subkey ‘*’는 해당 파일의 Full Path를 저장하며 10개의 목록을 기록
다른 Subkey는 파일 확장자 별로 10개의 파일 목록을 기록
OpenSaveMRU에 새로운 항목이 추가되면 이 키에 새로운 값이 생성되거나 수정됨
파일이 Save되는 경우 폴더 Path는 대상 폴더의 Path가 되고 파일이 Open되는 경우 폴더 Path는 Open되는 파일의 폴더 Path가 됨
만약 동일한 실행 파일명이 이미 존재한다면 폴더 Path 부분 만 수정됨
최근 실행한 기록
파일명
2000/XP
HKEY_USERS\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\LastVisitedMRU
Vista/7
HKEY_USERS\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\LastVisitedPidMRU
이 키에 존재하는 각각의 Registry 값은 Binary 형태로 최근 사용된 실행 프로그램의 파일명이 남음
사용자별 프로그램 확장자 목록별 최근에 실행했던 파일 및 디렉토리 기록
프로그램이 접근한 기록
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
-사용자가 접근한(실행한) 프로그램이, shortcut, control panel , applet 등을 기록
-이 키에는 2개의 GUID subkey가 존재하며 5E6으로 시작되는 subkey는 IE toolbar에 대한 것이고 750으로 시작되는 subkey는 Active Desktop에 관한 것
-이 키에 존재하는 값들은 “ROT3” 암호화 알고리즘으로 암호화 되어 있음
-참고 링크 : http://blog.didierstevens.com/programs/userassist/
-ROT13 : 알파벳 문자에 13을 더한 값으로 암호화(복호화는 3)
다. 레지스트리 분석 - 응용 프로그램 정보 부분을 보시면 ROT13을 복호화 방법을 알 수 있습니다.
마운트 된 저장 장치
HKLM\SYSTEM\MountedDevices
NTFS 파일 시스템에 의해서 사용된 mount 되어진 Volume 목록을 유지
\DosDevices\?(= C:, D: ..) 값은 각각의 Volume을 식별하는 정보를 포함
Volume을 식별하는 정보 중에서 그 내용에 “STORAGERemovable Media”가 포함된 경우 해당 장치는 이동 식 디스크임을 알 수 있음
\DosDevices\? 값에는 ParentIdPrefix가 포함되어 있으므로 어떤 USB 장치가 어떤 드라이브에 Mount되었는지 확인 할 수 있음
정리
| 아직 다 정리가 되지 않았습니다. 계속 해서 수정 보안 진행 하겠습니다.~! |
Windows 레지스트리는 Windows 운영체제의 주요 구성 요소 중 하나입니다.
이 계층 데이터베이스에는 Windows 설정, 응용프로그램 설정, 장치 드라이버 정보 및 사용자 암호가 포함됩니다.
응용프로그램이 설치되면 소프트웨어의 일부가 레지스트리 파일 (예 : RegEdit.exe)에 저장됩니다.
이 문서에서는 Windows10 레지스트리 파일을 만들고 편집하는 과정을 안내합니다.
레지스트리 파일을 변경하기 전에 전체 레지스트리 데이터베이스를 백업해야 합니다.
이렇게 하면 문제가 발생하면 이 파일에서 원래 설정을 가져올 수 있습니다.
레지스트리 데이터베이스를 백업하는 방법
Windows 10에서 레지스트리 편집기에 액세스하려면 검색창에 Regedit를 입력 하십시오.
Regedit 옵션을 마우스 오른쪽 버튼으로 클릭하고 “관리자로 열기”를 선택하십시오.
또는 Windows 키 + R키 를 눌러 실행 대화 상자를 열 수 있습니다. 이 상장에 regedit를 입력하고 확인을 누를 수 있습니다.
다음으로 File> Export를 틀릭하십시오. 파일 이름을 입력하고 레지스트리 파일을 저장하십시오.
전체 데이터베이스를 저장하거나 선택한 범위를 선택할 수 있습니다.
내 보낸 레지스트리 파일은 기본적으로 자동으로 .reg 확장자를 갖습니다.
★ 반드시 전체 레지스트리를 백업할려면 하단 컴퓨터 클릭한 상태에서 내보내기 해야 합니다.
다음으로 파일(F) > 내보내기(E)를 클릭하십시오. 파일 이름을 입력하고 레지스트리 파일을 저장하십시오.
전체 데이터베이스를 저장하거나 선택한 범위를 선택할 수 있습니다.
내 보낸 레지스트리 파일은 기본적으로 자동으로 .reg 확장자를 갖습니다.
새 레지스트리 파일을 만드는 방법
레지스트리 파일은 .reg 확장자로 이름이 바뀐 간단한 텍스트 파일입니다.
파일이 올바르게 구성되면 간단히 클릭하여 Windows 레지스트리를 변경할 수 있습니다.
다음은 새 레지스트리 파일을 작성하는 방법에 대한 예입니다.
먼저 메모장을 열고 다음 구문을 입력하십시오.
텍스트 파일을 컴퓨터에 저장 한 다음 마우스 오른쪽 버튼으로 클릭하고 .reg 확장자로 이름을 바꿉니다.
이제 이 파일을 두 번 클릭하면 레지스트리가 변경됩니다.
다음은 DNS 서비스를 자동으로 시작할 수 있는 다른 예입니다. 다음 구문을 사용하여 .reg 파일을 만듭니다.
참고 : 서비스를 수동으로 시작하려면 데이터 값을 00000003으로 변경하십시오.
비활성화 하려면 데이터 값을 00000004로 변경하십시오.
레지스트리를 편집하는 방법
레지스트리 편집기를 사용하여 현재 레지스트리 파일을 변경할 수 있습니다.
다음은 브라우저의 홈페이지를 변경 할 수 있는 예입니다.
(악성프로그램이 브라우저의 홈페이즤를 도용 한 경우에 특히 유용합니다.)
먼저 윈도우즈 검색 창에 Regedit를 입력하거나 Windows 키 + R (실행) 방법을 사용하여 Regedit를 입력하여 레지스트리 편집기를 엽니다.
컴퓨터\HKEY_CURRENT_USER 옆의 + 부호를 클릭 한 다음 Software\Microsoft\Internet Explorer를 클릭하십시오.
다음으로 Main을 마우스 오른쪽 버튼으로 클릭하고 내보내기(E)를 선택한 다음 파일을 컴퓨터에 저장하십시오.
마지막으로 파일을 마우스 오른쪽 버튼으로 클릭하고 "연결프로그램"을 선택한 다음 메모장을 선택하십시오.
파일을 열면 다음과 같습니다.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Anchor Underline"="yes"
"Disable Script Debugger"="yes"
"DisableScriptDebuggerIE"="yes"
"Display Inline Images"="yes"
"Do404Search"=hex:01,00,00,00
"Save_Session_History_On_Exit"="no"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Show_FullURL"="no"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes"
"Show_URLToolBar"="yes"
"Use_DlgBox_Colors"="yes"
"UseClearType"="no"
"XMLHTTP"=dword:00000001
"Cache_Update_Frequency"="Once_Per_Session"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Enable Browser Extensions"="yes"
"Play_Background_Sounds"="yes"
"Play_Animations"="yes"
"OperationalData"=hex(b):0d,02,00,00,00,00,00,00
"CompatibilityFlags"=dword:00000000
"FullScreen"="no"
"Window_Placement"=hex:2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,9c,00,00,00,9c,00,00,00,81,05,00,00,ed,03,00,\
00
"ImageStoreRandomFolder"="n4u8x96"
"IE10RunOncePerInstallCompleted"=dword:00000001
"IE10RunOnceCompletionTime"=hex:82,a9,0f,a1,6f,c1,d5,01
"IE10TourShown"=dword:00000000
"IE10TourShownTime"=hex:b1,e9,0e,90,62,14,d2,01
"DownloadWindowPlacement"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,e8,02,00,00,15,01,00,00,68,05,00,00,f5,\
02,00,00
"ScriptDebugger_EnableHiddenTabs"=dword:00000000
"ApplicationTileImmersiveActivation"=dword:00000001
"AssociationActivationMode"=dword:00000000
"StatusBarWeb"=dword:00000001
"ForceGDIPlus"=dword:00000000
"AlwaysShowMenus"=dword:00000000
"ShutdownWaitForxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxOnUnload"=dword:00000000
"DNSPreresolution"=dword:00000008
"SpellChecking"=dword:00000001
"LangToolsBroker"="{5bbd58bb-993e-4c17-8af6-3af8e908fca8}"
"DisablePasswordReveal"=dword:00000000
"DisableRequiresActiveXPrompt"=""
"GotoIntranetSiteForSingleWordEntry"=dword:00000000
"AutoSearch"=dword:00000001
"SuppressScriptDebuggerDialog"=dword:00000000
"PredictedViewExpansion"=dword:00000064
"PredictedViewChangeThreshold"=dword:0000000a
"PredictedViewChangeThresholdPaint"=dword:0000000a
"ContentLayerCacheExpansion"=dword:0000012c
"RenderingLoopMaxTime"=dword:000000fa
"NscSingleExpand"=dword:00000000
"Error Dlg Displayed On Every Error"="no"
"NotifyDownloadComplete"="no"
"Friendly http errors"="yes"
"CSS_Compat"="doctype"
"Expand Alt Text"="no"
"Display Inline Videos"=dword:00000001
"Use Stylesheets"=dword:00000001
"SmoothScroll"=dword:00000001
"Show image placeholders"=dword:00000000
"Disable Diagnostics Mode"="no"
"Move System Caret"="no"
"Enable AutoImageResize"="yes"
"UseThemes"=dword:00000001
"UseHR"=dword:00000000
"Q300829"=dword:00000000
"Cleanup HTCs"=dword:00000000
"XDomainRequest"=dword:00000001
"DOMStorage"=dword:00000001
"EnableAlternativeCodec"="yes"
"JScriptProfileCacheEventDelay"=dword:00001388
"HideLocalHostIP"=dword:00000000
"CrossfadeMinTimeoutInMS"=dword:00007530
"CrossfadeMaxTimeoutInMS"=dword:00007530
"CrossfadeCurrentTimeoutInMS"=dword:00007530
"ScrollTimeoutInMS"=dword:00001770
"DisableFirstRunCustomize"=dword:00000003
"IE10RunOnceLastShown"=dword:00000000
"IE10RunOnceLastShown_TIMESTAMP"=hex:94,a2,55,32,80,a8,d4,01
"IE10TourNoShow"=dword:00000000
"IE10RecommendedSettingsNo"=dword:00000000
"FrameTabWindow"=dword:00000001
"AdminTabProcs"=dword:00000001
"SessionMerging"=dword:00000001
"FrameMerging"=dword:00000001
"HangRecovery"=dword:00000001
"DesktopTransparentCoverWindowTime"=dword:00000008
"TSEnable"=dword:00000001
"Isolation"="PMIL"
"Isolation64Bit"=dword:00000000
"IsolationImmersive"="PMEM"
"TabShutdownDelay"=dword:0000ea60
"FrameShutdownDelay"=dword:00000000
"NoUpdateCheck"=dword:00000001
"Search Bar"="Preserve"
"MinIEEnabled"=dword:00000001
"RefcountTracker"=dword:00000000
"TabDragOnSingleProc"=dword:00000000
"ForceBFCacheCandidacyPass"=dword:00000000
"Fasterback"=dword:00000001
"BackForwardInstrumentation"=dword:00000000
"EdgeSwitchingOSBuildNumber"="10586.th2_release.160906-1759"
"Print_Background"="yes"
"AutoHide"="no"
"UseSWRender"="0"
"Force Offscreen Composition"=dword:00000000
"New_Tab_Provider"=dword:00000002
"NoProtectedModeBanner"=dword:00000001
"SearchBandMigrationVersion"=dword:00000001
"HideNewEdgeButton"=dword:00000001
"ShowApplicationGuardFirstRunExperienceFromIE"=dword:00000001
"EnableLeakDetectionInEdge"=dword:00000000
"LastClosedWidth"=dword:00000320
"LastClosedHeight"=dword:00000258
"EnableGetHostEnvironmentValue"=dword:00000001
"IE11EdgeNotifyTime"=hex:00,00,00,00,00,00,00,00
"EdgeReminderURL"="http://go.microsoft.com/fwlink/?LinkId=838604"
"EdgeReminderDuration"=dword:0000001f
"EdgeReminderRemainingCount"=dword:00000006
"News Feed First Run Experience"=dword:00000000
"Start Page"="http://www.nate.com/?f=060020"
"SyncHomePage Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy"=hex:
"Use FormSuggest"="yes"
"IE11DefaultsFRECompletionTime"=hex:08,6e,38,50,13,c1,d5,01
"IE11DefaultsFREConfigUpdateTimestamp"=hex:08,6e,38,50,13,c1,d5,01
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ApplicationGuard]
"ShowFirstRunExperience"=dword:00000001
"RunAsIfDownloadToHostAvailable"=dword:00000000
"RunAsIfInContainer"=dword:00000000
"RunAsIfStandaloneMode"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_LMZ_IMG]
"iexplore.exe"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"AcroRd32.exe"=dword:00002af8
"PotPlayer.exe"=dword:00002af8
"swingie.exe"=dword:00002710
"GOMCam.exe"=dword:00002710
"GomMixProMain.exe"=dword:00002710
"AladinEbookViewer.exe"=dword:00002af8
"WacomDesktopCenter.exe"=dword:00002710
"starplayer.exe"=dword:00002710
"Acrobat_DC_Set-Up.exe"=dword:00002af9
"NateOnMain.exe"=dword:00002af9
"OneDrive.exe"=dword:00002af8
"ALCapture.exe"=dword:00002af9
"TeamViewer.exe"=dword:00002af9
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_MODE]
"iexplore.exe"=dword:00000008
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_NAVIGATION_SOUNDS]
"swingie.exe"=dword:00000001
"GOMCam.exe"=dword:00000001
"GomMixProMain.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLE_CLIPCHILDREN_OPTIMIZATION]
"PotPlayer.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_EUPP_GLOBAL_FORCE_DISABLE]
"iexplore.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]
"swingie.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000000
"swingie.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
"LOCALMACHINE_CD_UNLOCK"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_NINPUT_LEGACYMODE]
"TeamViewer.exe"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SAFE_BINDTOOBJECT]
"swingie.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SCRIPTURL_MITIGATION]
"swingie.exe"=dword:00000001
"GOMCam.exe"=dword:00000001
"GomMixProMain.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SECURITYBAND]
"swingie.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_TABBED_BROWSING]
"swingie.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_USE_WINDOWEDSELECTCONTROL]
"swingie.exe"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WEBOC_POPUPMANAGEMENT]
"swingie.exe"=dword:00000001
"GOMCam.exe"=dword:00000000
"GomMixProMain.exe"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Touch]
"FlickEducatorInfo"=dword:00000000
"GestureZoomMinimumIncrement"=dword:00000001
"GestureTimerInterval"=dword:0000000f
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\WindowsSearch]
"Version"="10.0.17134.471"
"User Favorites Path"="file:///C:\\Users\\Master\\Favorites\\"
"UpgradeTime"=hex:82,a9,0f,a1,6f,c1,d5,01
"ConfiguredScopes"=dword:00000005
"LastCrawl"=hex:52,8b,0e,90,fb,c1,d5,01
"Cleared"=dword:00000001
"Cleared_TIMESTAMP"=hex:9e,8e,31,e0,cb,c2,d5,01
"AutoCompleteGroups"=dword:00000005
"Disabled"=dword:00000000
"EnabledScopes"=dword:00000005
첫 번째 줄 "Windows Registry Editor Version 5.00"은 OSA 파일이 레지스트리 파일임을 알려줍니다.
두 번째 부분은 구성 세부 정보이며 OS에 레지스트리에 추가하고 변경할 내용을 알려줍니다.
홈페이지를 Daum 같은 특정 웹 사이트로 변경하려면 컴퓨터\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 으로 이동하십시오.
오른쪽 창에서 시작 페이지 옵션을 확인한 다음 "Start Page"를 두 번 클릭하십시오.
값 데이터(V): 아래에 웹 사이트 이름 (https://www.daum.net)을 입력하고 확인을 클릭하십시오.
이 변경 작업을 수행하는 동안 문제가 발생하면 내 보낸 파일을 두 번 클릭하여 변경 사항을 재설정하십시오.
특정 레지스트리 항목을 삭제하는 방법
프로그램을 제거하면 일부 레지스트리 설정이 삭제되지 않을 수 있습니다.
프로그램을 완전히 제거하려면 레지스트리에서 프로그램 항목을 삭제해야 합니다.
레지스트리 편집기를 열고
컴퓨터\HKEY_LOCAL_MACHINE 옆에 있는 >부호를 클릭하십시오.
그런 다음 SOFTWARE를 클릭하고
컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE
삭제해애야 할 프로그램을 식별하십시오.
올바른 항목을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭하십시오.
마지막으로 컴퓨터\HKEY_CURRENT_USER 옆의 < 부호를 클릭하고 Software로 이동하여 삭제해야 할 프로그램을 식별 한 후 항목을 마우스 오른쪽 단추로 클릭하고 삭제를 클릭하십시오.
컴퓨터\HKEY_CURRENT_USER\Software
