알림2 RegFsNotify (2) 레지스트리 변화 알림 참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD] 저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드출판사 : 에이콘 레지스트리 변화 알림은 레지스트리의 키 또는 서브키에 대한 변화가 생겼을 때 알림을 받을 수 있지만, 어떤 키가 변경되었는지를 찾는 일은 분석자가 해야 한다. 즉, 레지스트리에는 파일 변화처럼 ReadDirectoryChangesW와 동일한 함수가 존재하지 않는다. 사전에 보존 목록을 생성 (Regshot와 유사)하고 무엇이 추가, 수정, 또는 삭제됐는지를 살펴봄으로써 이 문제를 해결할 수 있다. 또는 순환적으로 레지스트리를 파싱해 알림을 받은 시간에 마지막으로 써진 타임스탬프를 점검할 수 있다. 레지스트리.. 2016. 7. 7. RegFsNotify (1) 파일 시스템 변화 알림 참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD] 저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드출판사 : 에이콘 참고 사이트 :- [위키백과] 콜백- [Joinc] winapi 알림 기반 도구는 콜백 함수를 틍록해 파일 시스템의 변화를 탐지한다. 콜백 함수는 감시하고 있는 디렉터리에 있는 파일을 임의의 프로세스가 변화시킨 경우 윈도우가 실행하는 개발자 정의 액션 (Programmer-defined action)이다. CallBack프로그래밍에서 콜백(callback)은 다른 코드의 인수로서 넘겨주는 실행 가능한 코드를 말한다. 콜백을 넘겨받는 코드는 이 콜백을 필요에 따라 즉시 실행할 수도 있고, 아니면 나중에 실행할.. 2016. 7. 7. 이전 1 다음