참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD]
저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드
출판사 : 에이콘
레지스트리 변화 알림은 레지스트리의 키 또는 서브키에 대한 변화가 생겼을 때 알림을 받을 수 있지만, 어떤 키가 변경되었는지를 찾는 일은 분석자가 해야 한다. 즉, 레지스트리에는 파일 변화처럼 ReadDirectoryChangesW와 동일한 함수가 존재하지 않는다. 사전에 보존 목록을 생성 (Regshot와 유사)하고 무엇이 추가, 수정, 또는 삭제됐는지를 살펴봄으로써 이 문제를 해결할 수 있다. 또는 순환적으로 레지스트리를 파싱해 알림을 받은 시간에 마지막으로 써진 타임스탬프를 점검할 수 있다.
레지스트리 변화 알림
LONG WINAPI RegNotifyChangeKeyValue (
__in HKEY hKey,
__in BOOL bWatchSubtree,
__in DWORD dwNotifyFilter,
__in_opt HANDLE hEvent,
__in BOOL fAsynchronous
);
- hKey : 최상위 레지스트리 키 핸들
- bWatchSubtree : 하위 트리 관찰 (재귀)
- dwNotifyFilter
값 |
설명 |
REG_NOTIFY_CHANGE_NAME |
서브키가 추가되거나 삭제됐을 때 알림 |
REG_NOTIFY_CHANGE_ATTRIBUTES |
키의 속성이 변경됐을 때 알림 |
REG_NOT |
키의 보안 디스크립터가 변경됐을 때 알림 |
REG_NOTIFY_CHANGE_LAST_SET |
값 (value)가 추가, 삭제, 수정됐을 때 알림 |
- hEvent : 변화에 따라 신호를 보내는 이벤트
- fAsynchronous : 비동기 모드 여부
'Study > 리버싱' 카테고리의 다른 글
| RegFsNotify (1) 파일 시스템 변화 알림 (0) | 2016.07.07 |
|---|---|
| Registry (0) | 2016.07.06 |
| PE Structure (3) DLL (0) | 2016.06.29 |
| PE Structure (2) PE 헤더 (1) | 2016.06.29 |
| PE Structure (1) PE 포맷 (0) | 2016.06.19 |
댓글