huti avatar

악성코드 분석할 때 도움이 되는 Windows 레지스트리

huti

Published: 26 May 2019 › Updated: 26 May 2019악성코드 분석할 때 도움이 되는 Windows 레지스트리

악성코드 분석할 때 도움이 되는 Windows 레지스트리

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall : 프로그램 및 기능 항목에서 보이지 않는 프로그램 확인 가능(은닉 악성코드 확인 가능)

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{CE}|{F4}\Count : CE~ Key에는 확장자가 .exe인 프로그램 정보가 기록. F4~ Key에는 확장자가.lnk(바로가기) 파일 사용 기록 저장. ROT13으로 인코딩되어 기록.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs : .lnk 파일 사용 목록. 서브 키에는 한글, 엑셀, 동영상, 이미지 등의 사용 목록.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU: 실행 창에 실행한 명령어 목록

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR: 저장매체 연결 흔적

HKCU\SOFTWARE\Microsoft\Terminal Server Client\Default: 원격 접속(MSTSC) 기록

HKLM\SOFTWARE\Microsoft\Windows\Command Processor : CMD창 실행 시 자동으로 프로그램 실행(AutoRun)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion(Run|RunOnce|RunOnceEx|RunServicesOnce) : 부팅시 자동 시작되는 S/W 목록
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion(Run||RunOnce|RunServices|RunServcesOnce) : 부팅시 자동 시작되는 S/W 목록

HKCU\SOFTWARE\Microsoft\Office\Virsion{MS Office}\File MRU : Win7 MS Office 사용 기록,

HKCU\SOFTWARE\Microsoft\Windows\Office\Version{MS Office}\User MRU\Lived_{GID}\File MRU : Win 10 MS Office 사용 기록

HKCU\SOFTWARE\Adove\Acrobat Reader\DC\AVGeneral\cRecentFiles : Adobe 사용 흔적

(리디북스)칼리!도커를 해킹하다
https://ridibooks.com/v2/Detail?id=2853000018&fbclid=IwAR3q5hlVZeX20HWAPjWbDnqg8AqYJhx5vWQG2zLxH4xYpS0eWxOdeFLInNE

Leave 악성코드 분석할 때 도움이 되는 Windows 레지스트리 to:

Written by

humanism+it = huti. 저서 : 악성코드, 어서 와 해킹은 처음이지. 쓰고 싶은 글을 쓰자!

Read more #kr posts


Best Posts From huti

We have not curated any of huti's posts yet. But you can encourage our curation team to review posts by visiting them regularly and by referring other readers. Because we give priority to frequently read content.

More Posts From huti