Information Security/Malware Analysis
악성코드에 사용되는 Windows 레지스트리 분석 항목
hdhwang
2023. 3. 19. 20:56
1. 악성코드 탐지 정보
| 설명 | 레지스트리 |
| 연결 프로그램 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts |
| 자동 실행 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce | |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | |
| 서비스 프로그램 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services |
| 윈도우 로그온 실행 프로그램 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| 브라우저 오브젝트 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
| 방화벽 설정 | HKEY_LOCALMACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy |
| 숨김 파일 설정 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden |
2. 포렌식 정보
| 설명 | 레지스트리 |
| 실행 프로그램 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App paths |
| 실행 프로그램 기록 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU |
| 연결된 드라이브 정보 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 |
| 연결된 장치 정보 | HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices |
| USB 장치 정보 | HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR |