| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- ecma
- javascript
- hex-rays
- commandline
- Analysis
- malware
- ida pro
- error fix
- Ransomware
- mock.patch
- x64
- ida
- idapro
- 포인터 매핑
- debugging
- svn update
- pytest
- TensorFlow
- MySQL
- Python
- Rat
- why error
- open office xml
- NumPy Unicode Error
- idb2pat
- data distribution
- idapython
- h5py.File
- Injection
- error
- Today
- Total
13 Security Lab
악용 가능 레지스트리 본문
시작 프로그램에 등록
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
로그인시 시작
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
IE나 Explorer가 실행될때마다 등록된 DLL 실행
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
보호된 운영체제 파일 숨기기 – 숨김
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
: 0x0
숨김 파일 및 폴더 표시 – 숨김
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
: 0x0
알려진 파일 형식의 확장자 숨기기 - 숨김
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue
폴더옵션 노출 여부
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions
: 0x1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
: 0x2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue : 0x0
시스템 제한
MMC 제한
HKCU\Software\Policies\Microsoft\MMC\RestrictToPermittedSnapins
: 0x1
콘솔 제한 (cmd.exe )
HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD
: 0x1
작업관리자 제한 (TaskMgr)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
: 0x1
레지스트리 편집 제한 (Regedit)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
: 0x1
포트 오픈
ex) port 8080
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\8080:TCP
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\8080:TCP
PendingFileRenameOperations
파일이 사용중이거나 핸들이 열려있거나 등의 이유로 파일 삭제 및 이름변경이 안되는 경우
시스템을 재부팅했을 때 삭제 및 이름변경을 수행하기 위한 레지스트리 키
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
출처 : http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/58499.mspx?mfr=true
Disable Read-Only setting
Page의 Read-Only 속성을 무력화 시키는 레지스트리 키
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\
EnforceWriteProtection = 0
HKLM\SYSTEM\CurrentControlSet\Control\Session Manger\Memory Management\
DisablePagingExecutive = 1
