본문 바로가기

[+] Forensic

Registry (2)

이전 글에서 레지스트리는 5개의 루트키와 각 루트키 아래에 서브키, 데이터들로 이루어져 있다는 것을 알아보았다.

이번에는 루트키 중 맨위에 위치하고 있는 HKEY_CLASSES_ROOT에 대해서 알아 볼 것이다.

이 루트키는 하위 서브키로 HKLM\SOFTWARE\ClassesHKU\<SID>\Classes의 집합이라는 것을 저번글에서 언급하였다.

간단하게 확인을 해보면 아래와 같다.

[그림 1 - HKCR 서브키 btapp]

 
위 이미지에서 보면 .btapp 라는 서브키가 보인다. 하지만 HKLM에서는 아래와 같디 .btapp 서브키가 보이지 않는다.

[그림 2 - HKLM 서브키] 

 
위 HKCR 서브키 중 bsc가 보이지만 btapp는 보이지 않는다. 이 btapp는 아래 이미지처럼 HKU에 있다.

[그림 3 - HKU 서브키 .btapp]

이렇듯 HKCR은 자신만의 서브키가 없고 HKLM과 HKU의 Classes 서브키를 가져와 자신의 서브키로 만든다.


직접보면 HKCR은 많은 양의 하위 키들을 가지고 있으며, 대부분의 서브키들은 HKLM에서 가져온 것을 알 수 있다.

그리고 나머지 서브키들을 HKU에서 가져온다.

이제 HKCR이 가지는 기능을 알아 볼 차례이다.

HKCR은 앞 글에서 언급했듯이 파일과 프로그램간의 맵핑정보를 담당한다고 하였다.

HKCR 서브키들 중 .mp3라는 서브키의 데이터를 보면 아래이미지와 같다.

[그림 4 - HKCR 서브키 .mp3]

각 value와 data를 .mp3를 실행하는 프로그램의 정보가 들어가 있는데 (기본값)에서 가리키고 있는 곳으로 따라가면

프로그램의 전체경로와 명령어 옵션을 알 수 있다.

* 참고 : (기본값)은 value가 정해지지 않았을 때 default로 정해지는 value이며, 키당 하나만 생성이 가능하다. 

 

[그림 5 - (기본값)이 가리키는 곳]

기본값이 가리키는 키의 하위키인 Shell키의 Open\Command 키로 가면 위 이미지와 같이 프로그램을 실행시키는 명령행과

옵션을 볼 수 있다.


'[+] Forensic' 카테고리의 다른 글

Registry (4)  (0) 2012.01.03
Registry (3)  (0) 2012.01.03
Registry (1)  (0) 2012.01.02
Memory Analysis (8)  (3) 2011.12.28