레지스트리를 보다보면 아래 이미지와 같은 데이터 타입들을 보았을 것이다.
레지스트리에는 여러가지 데이터 타입들이 존재하는데 이번 글에서는 레지스트리의 데이터 타입을 알아 볼 것이다.
아래는 타입을 정리해놓은 목록표이다.
참고로 알아두어야 할 사항이 있다.
HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 아래에 있는 서브키들은 value를 ROT-13 방식으로 저장한다.
레지스트리에서 해당 키의 서브키들만 이러한 방식을 사용한다.
Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 해당 서브키에 저장되어 있던 값이다.
이 값을 예전에 직접 작성했던 ROT-13 스크립트로 풀어보면 다음과 같다.
Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 우리가 알아볼 수 있는 평문으로 디코딩 하면 Microsoft.Windows.ControlPanel 이라는 글자가 된다.
ROT-13은 현대 암호들과 비교해보면 암호라고 할수도 없지만 이러한 방법이 있다는 것을 모른다면 UserAssist 서브키들의
값을 보았을 때 이 값이 무엇을 의미하는지 모를 것이다.
[그림 1 - 데이터 타입]
레지스트리에는 여러가지 데이터 타입들이 존재하는데 이번 글에서는 레지스트리의 데이터 타입을 알아 볼 것이다.
아래는 타입을 정리해놓은 목록표이다.
[그림 2 - 데이터 타입 목록표]
참고로 알아두어야 할 사항이 있다.
HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 아래에 있는 서브키들은 value를 ROT-13 방식으로 저장한다.
레지스트리에서 해당 키의 서브키들만 이러한 방식을 사용한다.
[그림 3 - UserAssist 서브키의 ROT-13 저장 방식]
Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 해당 서브키에 저장되어 있던 값이다.
이 값을 예전에 직접 작성했던 ROT-13 스크립트로 풀어보면 다음과 같다.
[그림 4 - ROT-13 Decode]
Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 우리가 알아볼 수 있는 평문으로 디코딩 하면 Microsoft.Windows.ControlPanel 이라는 글자가 된다.
ROT-13은 현대 암호들과 비교해보면 암호라고 할수도 없지만 이러한 방법이 있다는 것을 모른다면 UserAssist 서브키들의
값을 보았을 때 이 값이 무엇을 의미하는지 모를 것이다.
'[+] Forensic' 카테고리의 다른 글
Registry (7) (0) | 2012.01.04 |
---|---|
Registry (6) (0) | 2012.01.04 |
Registry (4) (0) | 2012.01.03 |
Registry (3) (0) | 2012.01.03 |