2. 윈도우 레지스트리 (자동 실행)

윈도우 레지스트리 개념
- 운영체제 설정이나 옵션 등 프로그램 구성 정보를 저장하는 수직 구조의 정보 데이터베이스이며 성능 향상을 위해 존재함
- 수직 구조의 정보 데이터베이스 → 성능 향상
- 그 외 네트워킹, 드라이버, 시작 및 사용자 계정 정보와 같은 거의 모든 윈도우 시스템의 구성 정보를 저장하고 있다
악성코드가 레지스트리를 활용하는 이유
- 영구적인 데이터나 설정 데이터를 저장하기 위함이며, 이러한 정보가 컴퓨터 부팅 시마다 자동으로 동작할 수 있게 하기 위함
레지스트리 구성 값

레지스트리 구성 값	설명
루트 키 (root key)	루트키라 부르는 다섯 가지 최상위 부분으로 나눠짐
때로는 HKEY와 하이브란 용어를 사용
서브 키 (subkey)	서브키는 폴더 내의 서브폴더 역할
키 (key)	키는 또 다른 폴더나 값을 저장할 수 있는 레지스트리 내 폴더
(루트키와 서브키는 모두 키다)
**값 엔트리
(value entry)**	값 엔트리는 순차적인 이름과 값 쌍 임.
**값이나 데이터
(value or data)**	레지스트리 엔트리 내에 저장된 데이터

루트 키 종류	설명
HKEY_LOCAL_MACHINE (HKLM)	시스템 전역 설정 저장
HKEY_CURRENT_USER (HKCU)	현재 사용자에 특화된 설정 저장
HKEY_CLASSES_ROOT	정의한 유형 정보를 저장
HKEY_CURRENT_CONFIG	현재 하드웨어 구성 설정, 특히 현재 설정과 표준 설정의 차이를 저장
HKEY_USERS	기본 사용자, 새로운 사용자, 현재 사용자의 설정을 정의

Untitled

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Setup

컴퓨터\HKEY_LOCAL_MACHINE\ : 루트 키

SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Setup : 서브키

BootDir, LogLevel : 값 엔트리

일반 레지스트리 함수
- 악성코드에서 레지스트리를 수정할 목적으로 사용하는 윈도우 API

API	설명
RegOpenKeyEx	편집과 질의용으로 레지스트리를 오픈
RegSetValueEx	레지스트리에 새로운 값을 추가하고 데이터를 설정
RegGetValue	레지스트리 내의 값 엔트리용 데이터를 반환

→ Reg Add 명령어로 레지스트리 오픈/추가 및 저장/반환 가능

.reg 파일을 이용한 레지스트리 스크립트
- .reg 확장자를 가진 파일은 가독성이 있는 레지스트리 데이터를 포함
- 더블 클릭하여 실행하면 담고 있는 정보를 자동으로 레지스트리로 병합해 수정
서비스
- 악성코드가 새로운 코드를 실행하는 또 다른 방식은 서비스로 설치하는 방법이 있다.
- 백그라운드 애플리케이션으로 실행하는 서비스를 사용하여 프로세스나 스레드 없이 악성코드를 실행할 수 있다.
  - → 코드가 스케줄링 되어 있어 사용자 입력 없이 윈도우 서비스 관리자가 실행
- 서비스 이용의 이점
  - SYSTEM 권한으로 실행 (administrator나 사용자 계정보다 상위 권한)
  - 운영체제 시작 시 자동으로 실행
  - 작업관리자(Task Manager)에 프로세스가 보이지 않을 수 있음
- 서비스 API
  - OpenSCManager: 서비스 제어 관리자(Service control manager)에 핸들 반환
  - CreateService : 신규 서비스로 등록, 부팅 시 서비스의 자동/수동 시작 여부를 호출자가 지정
  - StartService : 서비스를 시작하고 서비스가 수동으로 시작하게 설정되어 있을 때만 사용
- sc.exe를 이용한 서비스 제어 (윈도우 기본 명령어)
  - 서비스 등록/시작
    - 등록 : sc create [서비스명] binpath=[서비스 파일 경로]
    - 삭제 : sc start/stop [서비스명]
    - 삭제 : sc delete [서비스명]
    - 조회 : sc query [서비스명]