____  ___    _  _     _   _ _____     _______
 / ___|/ _ \  | || |   | | | |_ _\ \   / / ____|
| |  _| | | | | || |_  | |_| || | \ \ / /|  _|
| |_| | |_| | |__   _| |  _  || |  \ V / | |___
 \____|\___/     |_|   |_| |_|___|  \_/  |_____|

 --- A GOPHER-LIKE INTERFACE FOR HIVE BLOCKCHAIN ---

악성코드 분석할 때 도움이 되는 Windows 레지스트리

BY: @huti | CREATED: May 26, 2019, 12:43 a.m. | VOTES: 2 | PAYOUT: $0.17 | [ VOTE ]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall : 프로그램 및 기능 항목에서 보이지 않는 프로그램 확인 가능(은닉 악성코드 확인 가능)

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{CE~}|{F4~}\Count : CE~ Key에는 확장자가 .exe인 프로그램 정보가 기록. F4~ Key에는 확장자가.lnk(바로가기) 파일 사용 기록 저장. ROT13으로 인코딩되어 기록.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs : .lnk 파일 사용 목록. 서브 키에는 한글, 엑셀, 동영상, 이미지 등의 사용 목록.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU: 실행 창에 실행한 명령어 목록

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR: 저장매체 연결 흔적

HKCU\SOFTWARE\Microsoft\Terminal Server Client\Default: 원격 접속(MSTSC) 기록

HKLM\SOFTWARE\Microsoft\Windows\Command Processor : CMD창 실행 시 자동으로 프로그램 실행(AutoRun)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion(Run|RunOnce|RunOnceEx|RunServicesOnce) : 부팅시 자동 시작되는 S/W 목록
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion(Run||RunOnce|RunServices|RunServcesOnce) : 부팅시 자동 시작되는 S/W 목록

HKCU\SOFTWARE\Microsoft\Office\Virsion{MS Office}\File MRU : Win7 MS Office 사용 기록,

HKCU\SOFTWARE\Microsoft\Windows\Office\Version{MS Office}\User MRU\Lived_{GID}\File MRU : Win 10 MS Office 사용 기록

HKCU\SOFTWARE\Adove\Acrobat Reader\DC\AVGeneral\cRecentFiles : Adobe 사용 흔적

(리디북스)칼리!도커를 해킹하다
​https://ridibooks.com/v2/Detail?id=2853000018&fbclid=IwAR3q5hlVZeX20HWAPjWbDnqg8AqYJhx5vWQG2zLxH4xYpS0eWxOdeFLInNE

TAGS: [ #kr ] [ #kr-it ] [ #malware ] [ #windows ] [ #kr-tech ]

Replies

NO REPLIES FOUND.

[ BACK TO TRENDING ] [ BACK TO MENU ]
CMD>