하루더하기

- 레지스트리는 설치된 소프트웨어 정보부터 환경설정, 임시 저장 값까지 윈도우 시스템이 운영되는데 필요한 정보를 담고 있다. 

- 사용자는 레지스트리 편집기라는 프로그램을 통해 레지스트리 설정을 조작할 수 있다. 레지스트리 편집기를 실행하려면 시작 메뉴의 검색란에 regedit 또는 regedt32를 입력하면 된다.

- 레지스트리는 윈도우 부팅 시 하이브 파일에서 값을 읽어 들여 구성된다. 하이브 파일에서 직접 읽어 들여 구성되는 키를 Master Key, 여기서 값을 가져와 재구성하는 키를 Derived Key라 한다.

- 레지스트리 편집기에서 처음 보이는 키 다섯 개는 특수한 키로서, 핸들 또는 레지스트리의 루트키라 한다. 이름도 HKEY로 시작한다.

- 레지스트리 데이터베이스는 하이브(hive)라는 레지스트리 하위 집합이 들어 있는 여러 개의 파일로 구성되어 있다. 하이브에는 하나 이상의 레지스트리 키와 서브 키, 설정 항목이 있다.

- 부팅시 악성코드 실행을 위해 변조되는 레지스트리는 HKLM, HKCU

- 특정 확장자 실행 시 악성코드 실행을 위해 변조되는 레지스트리는 HKCR

- 윈도우 시스템에 아이디와 패스워드 없이 세션을 연결함으로써 시스템 내부에 접근해 정보를 탈취해가는 널 세션(Null Session) 취약점은 윈도우 기본 공유 폴더인 $IPC에서 발생한다. 이를 방어하기 위해 설정해야 하는 레지스트리는 HKLM

- 레지스트리 백업 복구 중 윈도우의 모든 시스템 정보를 백업 및 복구하기 위해 필요한 파일 : system.dat, user.dat, system.ini