CreateMutex
까보면 다나와~
유용한 지식 자료들/레지스트리 (5)

Active Setup이란

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components


위에 있는게 레지스트리 경로이고 다음은 관련된 설명이다.


Active Setup is a mechanism for executing commands once per user early during logon. Active Setup is used by some operating system components like Internet Explorer to set up an initial configuration for new users logging on for the first time. Active Setup is also used in some corporation’s software distribution systems to create an initial customized user environment. To understand why such a mechanism is necessary we need to take a step back.


중략..


Active Setup runs before the shell is started, i.e. before the Desktop appears. Commands started by Active Setup run synchronously, blocking the logon while they are executing. Active Setup is executed before any Run or RunOnce registry entries are evaluated because Run(Once) is handled by the shell, Explorer.exe, which is started only after Active Setup is finished.



더 자세한 설명은 아래 사이트에서 확인!.. 정말 잘 나와있네요.

http://www.sepago.de/helge/2010/04/22/active-setup-explained/



  Comments,   0  Trackbacks
댓글 쓰기

인터넷에 관련한 레지스트리 설정 정보

Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

위의 PATH에서 Zone이란 IE 인터넷 옵션에서 보안 탭에 있는 

인터넷, 인트라넷, 신뢰할 수 있는 사이트, 제한된 사이트를 대상으로 한다.

3이면 평상시 사용하는 인터넷을 말하는 거.

Value Setting

------------------------------

0    My Computer

1    Local Intranet Zone

2    Trusted sites Zone

3    Internet Zone

4    Restricted Sites Zone

그리고 하위 키들은 각정 보안 설정을 할 수 있는 값들이 지정 되어 있는데 

http://support.microsoft.com/kb/182569

위의 MS 사이트에 각 숫자 키 마다 어떤 의미가 있는 지 확인 할 수 있겠다.

한글 보다는 영어 원문으로 보는게 더 직관적임


Zone 3번에 접근해서 하위키 무언가를 수정한다면 대부분 악성행위로 간주해도 되지 않을 까


다음은 다른 참고 사이트

http://seleucos.tistory.com/1041


  Comments,   0  Trackbacks
댓글 쓰기

윈7 레지스트리 정보

설명: "실행"에서 실행되었던 최근 프로그램
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

설명: 최근 열렸거나 저장된 파일
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

설명: 최근 열렸거나 저장된 폴더
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU

설명: 최근 문서
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

설명: 실행 파일의 메인 윈도우 제목표시줄 캐쉬 (EXE to main window title cache)
위치: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

설명: 실행한 프로그램이나 바로가기의 접근 정보 (User Assist)
위치: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

  Comments,   0  Trackbacks
댓글 쓰기

MUICache 레지스트리

MUICache - Multilingual User Interface, 다중 언어를 지원하기 위한 프로그램 이름을 캐쉬하는 레지스트리

경로 : [*]Software\Microsoft\Windows\ShellNoRoam\MUICache

활용 : 해당 레지스트리를 확인하면 사용자 PC의 설치된 프로그램에 대한 절대경로를 알아낼 수 있다.
단, 프로그램이 삭제되도 MUICache에는 정보가 남아있어 실제 깔려있는 프로그램이 아닐 가능성이 있다.

  Comments,   0  Trackbacks
댓글 쓰기

Explorer 레지스터를 활용한 악성코드

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ControlPanel\NameSpace\{c308dbac-6fbc-4faa-aa66-2c924ab9b109}

--> 제어판 목록에 추가

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{c308dbac-6fbc-4faa-aa66-2c924ab9b109}

---> 바탕화면에 추가

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
MyComputer\NameSpace\{c308dbac-6fbc-4faa-aa66-2c924ab9b109}

--> 내 컴퓨터에 나오는 목록.. 위에 CLSSID는 기타로 표시됨

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
NetworkNeighborhood\NameSpace\{c308dbac-6fbc-4faa-aa66-2c924ab9b109}

네트워크이웃 추가....;

  Comments,   0  Trackbacks
댓글 쓰기