NOTICE


 악성코드는 레지스트리를 이용해 Windows OS에서 자동으로 특정 동작을 하게 만듭니다.

 아마 분석을 하다보면 항상 레지스트리에 특정한 값이 수정되거나 등록되는 것을 보실겁니다. 그런데 레지스트리 경로 또는 해당 경로에 등록되는 값이 무엇을 의미하는지 모를 때가 많습니다. 그래서 틈틈히 정리해보고자 합니다.


 내가 찾고자 하는 정보가 있는지 빠르게 확인하시려면 'Ctrl+F' 키를 사용해서 찾아보시기 바랍니다.


〔HKEY_CURRENT_USER〕

 HKCU\Control Panel\Desktop

  - ScreenSaveActive: 화면 보호기에 대한 활성화 설정을 합니다.

  - ScreenSaveTimeOut: 화면 보호기 동작 시간을 설정합니다.

  - SCRNSAVE.EXE: 화면 보호 모드로 동작할 파일의 경로를 설정합니다.

                                    파일 이름으로 설정할 경우 기본 경로인 System32 폴더에서 파일을 찾습니다.


HKCU\Software\Microsoft\Internet Explorer\Main

  - Start Page: Internet Explorer.exe의 시작페이지를 설정합니다.


HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths

 - 해당 경로에는 시스템에 설치된 프로그램과 설치 경로에 대한 정보가 있습니다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

  - Hidden: 숨김 파일 및 폴더에 대한 표시를 설정합니다.

  - ShowSuperHidden: 보호된 운영체제 파일 숨기기에 대한 설정을 합니다.

  - HideFileExt: 파일 확장자에 대한 표시를 설정합니다.


HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer

  - NoFolderOptions: '윈도우 탐색기 - 도구'에서 '폴더 옵션' 항목에 대한 활성화를 설정합니다.

  - NoDriveTypeAutoRun: USB 같은 드라이브 장치에 대한 Autorun 설정을 합니다.

      


HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system

  - DisableCMD: cmd.exe에 대한 활성화를 설정합니다.

  - DisableTaskMgr: 작업관리자에 대한 활성화를 설정합니다.

  - DisableRegistryTools: 레지스트리 편집기에 대한 활성화를 설정합니다.


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

 - Load: 시스템이 시작할 때 등록된 경로에 있는 파일이 자동으로 동작합니다.


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 - Shell: 시스템이 시작할 때 등록된 경로에 있는 파일이 자동으로 동작합니다.


 HKEY_LOCAL_MACHINE

HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0 (CPU 정보를 가지고 있다.)

  - ~HMz: CPU 속도이다.


HKLM\SOFTWARE\Microsoft\Cryptography

 - MachineGuid: Hardware ID 값이다.


HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN

 - TabProcGrowth: 이 값을 0으로 설정하면 Internet Explorer 8 이상에서 윈도우 또는 탭을 생성하더라도 LCIE                             동작 없이 하나의 프로세스에서만 활성화된다


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run

  - Run 키에 등록된 파일은 Windows OS가 시작할 때 자동으로 실행됩니다.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunOnce

  - RunOnce 키에 등록된 파일은 Windows OS가 시작할 때 자동으로 실행됩니다.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  - Run 키에 등록된 파일은 Windows OS가 시작할 때 자동으로 실행됩니다.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - RunOnce 키에 등록된 파일은 Windows OS가 시작할 때 자동으로 실행됩니다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

 - InstallDate: OS 설치 날짜 정보가 들어가 있다.

 - ProductName: 설치된 OS의 이름 정보가 들어가 있다. ex) Microsoft Windows XP

 - RegisteredOwner: 시스템 관리자 계정의 이름이 들어가 있다.

 - SystemRoot: 시스템의 루트 경로가 들어가 있다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcName

 - Debugger: 응용프로그램을 실행시키면 그 과정에서 레지스트리의 Image File Execution Options 키를 확인합

                 니다. 만약 하위 키 값에 실행하려는 이미지가 존재하면 Debugger 값을 참조하여 해당 값에 연결되

                 어 있는 이미지를 먼저 실행합니다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 - Userinit: 사용자가 로그온 할 때마다 자동 실행되도록 합니다.

               악성코드에 의해 해당 값이 변경되었을 경우 다음과 같이 수정해줍니다.

               C:\WINDOWS\system32\userinit.exe,파일명.exe

                C:\WINDOWS\system32\userinit.exe, (콤마(,)는 기본 값이므로 지우면 안된다.)


 HKEY_USERS

HKU\SID\Software\Microsoft\Windows NT\CurrentVersion\Windows

 - Load: 시스템이 시작할 때 등록된 경로에 있는 파일이 자동으로 동작합니다.


HKU\SID\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 - Shell: 시스템이 시작할 때 등록된 경로에 있는 파일이 자동으로 동작합니다.



  1. no picture sapphire247 2015.03.16 03:49 신고

    잘 보구가요 ^^

  2. no picture BlogIcon 웅잉 2015.08.21 13:51 신고

    좋은 정보 감사합니다ㅎㅎ

  3. no picture 2018.02.03 19:33

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2018.05.31 13:07 신고

      Winlogon 키에 존재하는 shutdownwithoutlogon 값을 말하는거 같습니다. shutdownwithoutlogon이 어떤 의미를 가지는 값인지 확인하면 됩니다.