본문 바로가기

[+] Forensic

Registry (5)

레지스트리를 보다보면 아래 이미지와 같은 데이터 타입들을 보았을 것이다.

[그림 1 - 데이터 타입]

레지스트리에는 여러가지 데이터 타입들이 존재하는데 이번 글에서는 레지스트리의 데이터 타입을 알아 볼 것이다.

아래는 타입을 정리해놓은 목록표이다.

[그림 2 - 데이터 타입 목록표]

참고로 알아두어야 할 사항이 있다.

HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 아래에 있는 서브키들은 value를 ROT-13 방식으로 저장한다.

레지스트리에서 해당 키의 서브키들만 이러한 방식을 사용한다.

[그림 3 - UserAssist 서브키의 ROT-13 저장 방식]

Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 해당 서브키에 저장되어 있던 값이다.

이 값을 예전에 직접 작성했던 ROT-13 스크립트로 풀어보면 다음과 같다.

 [그림 4 - ROT-13 Decode]

Zvpebfbsg.Jvaqbjf.PbagebyCnary 이 값은 우리가 알아볼 수 있는 평문으로 디코딩 하면 Microsoft.Windows.ControlPanel 이라는 글자가 된다.

ROT-13은 현대 암호들과 비교해보면 암호라고 할수도 없지만 이러한 방법이 있다는 것을 모른다면 UserAssist 서브키들의

값을 보았을 때 이 값이 무엇을 의미하는지 모를 것이다. 

'[+] Forensic' 카테고리의 다른 글

Registry (7)  (0) 2012.01.04
Registry (6)  (0) 2012.01.04
Registry (4)  (0) 2012.01.03
Registry (3)  (0) 2012.01.03