악성코드 분석할 때 도움이 되는 Windows 레지스트리

in #kr5 years ago (edited)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall : 프로그램 및 기능 항목에서 보이지 않는 프로그램 확인 가능(은닉 악성코드 확인 가능)

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{CE~}|{F4~}\Count : CE~ Key에는 확장자가 .exe인 프로그램 정보가 기록. F4~ Key에는 확장자가.lnk(바로가기) 파일 사용 기록 저장. ROT13으로 인코딩되어 기록.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs : .lnk 파일 사용 목록. 서브 키에는 한글, 엑셀, 동영상, 이미지 등의 사용 목록.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU: 실행 창에 실행한 명령어 목록

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR: 저장매체 연결 흔적

HKCU\SOFTWARE\Microsoft\Terminal Server Client\Default: 원격 접속(MSTSC) 기록

HKLM\SOFTWARE\Microsoft\Windows\Command Processor : CMD창 실행 시 자동으로 프로그램 실행(AutoRun)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion(Run|RunOnce|RunOnceEx|RunServicesOnce) : 부팅시 자동 시작되는 S/W 목록
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion(Run||RunOnce|RunServices|RunServcesOnce) : 부팅시 자동 시작되는 S/W 목록

HKCU\SOFTWARE\Microsoft\Office\Virsion{MS Office}\File MRU : Win7 MS Office 사용 기록,

HKCU\SOFTWARE\Microsoft\Windows\Office\Version{MS Office}\User MRU\Lived_{GID}\File MRU : Win 10 MS Office 사용 기록

HKCU\SOFTWARE\Adove\Acrobat Reader\DC\AVGeneral\cRecentFiles : Adobe 사용 흔적

(리디북스)칼리!도커를 해킹하다
https://ridibooks.com/v2/Detail?id=2853000018&fbclid=IwAR3q5hlVZeX20HWAPjWbDnqg8AqYJhx5vWQG2zLxH4xYpS0eWxOdeFLInNE