본문 바로가기

윈도우 레지스트리

Registry (11) [MRU(Most Recently Used)] 윈도우는 사용자가 특정 행위를 하였을 때 마지막 행위를 레지스트리에 기록해 두는데 이 목록이 MRU List이다. 이제부터 소개하는 것들이 MRU List에 포함 되는 것들이다. [검색 목록] 윈도우의 검색 목록은 레지스트리에 XP의 경우 검색 종류에 따라 각각 기록되는 서브키가 다르며, Win 7의 경우 통합적으로 기록이 된다. 키(XP) : HKCU\Software\Microsoft\Search Assistant\ACMru\5603 --> 모든 파일과 폴더 검색 기록 키(XP) : HKCU\Software\Microsoft\Search Assistant\ACMru\5001 --> 로컬 인터넷 검색 키(XP) : HKCU\Software\Microsoft\.. 더보기
Registry (7) 이번에는 하이브 빈 보다 더 작은 논리적 저장단위인 셀에 대해서 알아 볼 것이다. [셀] 셀이란, 하이브 빈 보다 더 작은 논리적 저장단위이며 실제 레지스트리 데이터를 저장할 때 사용되는 단위는 셀이다. 셀 헤더에는 셀의 전체 길이가 저장되어 있으며, 이 값은 무조건 8바이트의 배수이어야 한다. 셀에는 5가지 종류가 있다. 지금부터 5가지 셀에 대해서 알아볼 것이다. [Key cell] 레지스트리의 키를 가지고 있는 셀로, '키 노드(Key node)'라고도 불린다. 이 셀에는 가장 최근에 키를 수정한 시간이 기록된다. 시그니처는 키노드의 경우 'nk', 키 링크의 경우 'lk'로 정해져있다. 각 오프셋에 대한 정보는 아래 이미지에 나와 있다. [그림 1 - key cell offset] 참고로 셀의 크.. 더보기
Registry (4) 이번에는 루트키중 HKEY_LOCAL_MACHINE 루트키에 대해서 알아보도록 하겠다. HKLM 루트키는 자체 하이브를 가지고 있으며, 시스템의 하드웨어, 소프트웨어 드라이버의 환경설정 정보를 가지고 있다. HKLM 하이브 중 일부는 관리자계정으로도 접근하지 못하는 하이브가 있으며, 이는 시스템 계정으로 접근이 가능하다. HKLM 하위 하이브 목록과 위치는 다음과 같다. [HKLM 하이브 목록과 위치] - HKLM\BCD00000000(Win Vista/7) : \Boot\BCD - HKLM\COMPONENTS(Win Vista/7) : %windows%\System32\Config\COMPONENTS - HKLM\HARDWARE : 메모리 - HKLM\SAM : %windows%\System32\Con.. 더보기
Registry (3) 이번에는 HKEY_CURRENT_USER 루트키에 대해서 알아 볼 것이다. HKCU 루트키는 현재 로그온한 사용자의 정보를 서브키로 가지고 있는데 이 서브키들은 HKU 루트키에서 가져온 것들이다. [그림 1 - HKCU 서브키의 출처] 위 이미지를 보면 HKU의 서브키들 중 S1001 계정의 서브키들이 HKCU의 서브키와 동일 한 것을 볼 수 있다. 즉 현재 S1001 계정이 로컬에 로그온 되어 있다는 뜻이 된다. 각 서브키들이 어떠한 의미를 뜻하는지는 아래를 참조하자. [HKCU 서브키] - AppEvent : 이벤트와 사운드 사이의 연관 정보 - Console : 명령 프롬포트 설정 정보 - Control Panel : Sreen Saver, 데스크탑 테마, 키보드/마우스 등의 환경설정 정보 - En.. 더보기