Notice
Recent Posts
Recent Comments
Link
- lumenFC 축구 동호회
- 마샤블
- 웍스프레소
- 소셜@나눔<소셜미디어나눔연구소>
- 리버스코어
- LAIN
- LAIN 이사한 블로그
- TeamCR@K
- Sunnyday
- 보안 걱정이
- 리버싱 학습
- securityfirst_jo
- Practical Security Blog
- 세상, 그 유쾌한 전장
- 악성코드관련블로그
- Back to the Mac
- 패킷분석입문
- PacketInside / 네트워크 패킷 분석 블로그
- 침해사고분석 :: 네이버 블로그
- 소프트웨어 기술자경력관리시스템
- JK.Moon
- 자바 온라인학습
- Ezbeat의 도서관
- Dreams of a Final Journey
- IT eBooks - Free Download - Bi…
- Index of /madchat/coding/rever…
- Security Insight
- Reversing war game
- 고길고기
- clamav
- zerowine
- FORENSIC-PROOOF
- jquery 예제
- 조대협의블로그
- 국가과학기술인력개발원 교육포털 사이트
- 빅데이터, splunk
- 지식을 연주하는 사람
- malware analysis system
- 건국대토익스피킹
- 소프트웨어개발 및 협업도구
kisoo
레지스트 : HKEY_LOCAL_MACHINE→SYSTEM 본문
01.About Programming /12.Default knowledge
레지스트 : HKEY_LOCAL_MACHINE→SYSTEM
JamesK78 2009. 9. 2. 16:23가장 맣은 설정 내용과 다양한 구성을 가지고 있는 키 입니다. 때문에 이 레지스트리의 설정을 바꾸면 시스템에 많은 영향을 미치는대 어떻게 바꾸느냐에 따라 좀더 좋은 구성으로, 잘못되어 최악의 경우 윈도우의 재설치를 요할지도 모릅니다.
2.1.1 Start 값이 가지는 데이터와 실행 방식 표
2.1.2ErrorControl 값이 가지는 데이터와 실행 방식 표
6. SYSTEM→Setup : 윈도우 설치 프로그램이 어떤 설치 단계에 이르렀으며, 현재 어떤 설치가 이루어지고 있느지 알아내는 데 사용하는 설정 정보가 저장되어 있습니다.
이 키는 윈도우에서 사용하는 파일 시스템, HW Driver, 윈도우 커널이 사용하는 정보에 이르기까지 윈도우 하부 시스템에 관련된 다양한 설정 내용을 포함하고 있습니다. 제어판의 구성 요소중 HKEY_CURRENT_USER→Control Panel에서 볼 수 없었던 요소들도 설정할 수 있습니다. 이 SYSTEM키에서 가장 많이 볼 수 있는 키는 ControlSet입니다. Control Set은 드라이버 설정, HW 프로필 설정, 레지스트리 항목을 그룹으로 모아 놓은 것입니다. 윈도우는 HW 내용이 변경될 때 새로운 Control Set을 만들게 되는대 이는 순서대로 ControlSet001, ControlSet002와 같이 번호가 부여 됩니다.
1. SYSTEM→ControlSet001, ControlSet002... : 윈도우가 부팅할 때 사용하는 컨트롤 집합이 들어있는 키로, 최소한 2개 이상
1. 존재 합니다. 운영체제의 비정상적 종료(정전, 코드 빠짐 등...) 후 부팅화면에는 안전모드, 마지막으로 성공한 구성 등 여러
1. 개의 부팅모드를 선택할 수 있는대 "마지막으로 성공한 구성"은 ControlSet키 가운데 마지막에 이루어진 성공적인 부팅 과정
1. 에서 사용한 ControlSet키를 이용해 윈도우를 원상태로 복구하는 것입니다.
2. SYSTEM→CurrentControlSet : 부팅하기 위해 사용한 ControlSet입니다. 부팅에 사용된 ControlSet은 자동으로 이 키에 그
2. 내용이 복사 됩니다.
2.1 SYSTEM→CurrentControlSet 이하
키 | 저장 내용 |
→Control | SYSTEM키의 구성 요소 중 가장 많은 항목을 가지고 있는 키로 윈도우와 시스템 파일이 설치된 폴더, 네트워크 이름 등이 저장되어 있습니다. |
→Control→SafeBoot | 안전 모드로 부팅할 때 읽어들일 장치가 정의되어 있습니다. |
→Control →SecurePipeServers →winreg |
원격 접속한 사용자가 보고 직접 편집할 수 있는 레지스트리 경로가 정의되어 있습니다. |
→Control→Video →{XXX-XXX-XXX} →0000 |
윈도우에서 현재 사용하는 비디오 모드, 해상도와 리프레시율 등이 정리되어 있습니다. |
→Enum | 부팅하는 동안 시스템에서 발견된 HW 자치에 대한 정보가 모두 기록되어 있습니다. Enum키에는 HTREE와 Root라는 하위키가 있는데, HTREE키의 하위키에는 실제로 발견된 장치들에 대한 정보가 담겨있습니다. 그리고 Root 키의 하위키에는 드라이버가 설치된 모든 HW장치에 대한 정보가 담겨있습니다. |
→Hardware Profile | HKEY_CURRENT_CONFIG 키에 저장되어 있는 HW 프로필 설정과 동일한 내용이 담겨 잇습니다. 이 키의 하위키인 Current 키에는 현재 프로필이, 0001 키에는 기본 프로필이 기록되어 있습니다. 만약 여러 개의 프로필을 정의하면 각각의 프로필을 담은 키에 차례대로 숫자가 붙습니다. 즉 둘째로 정의된 프로필 정보는 0002 키에, 저장됩니다. |
→Services | 윈도우가 사용하는 드라이버 서비스에 대해 정의되어 있습니다. 각 하위키는 윈도우에서 실행되는 서비스와 드라이버 이름으로 구성되어 있으며, 각 키에는 Start 값이 있는데 Start 값의 데이터에 따라 서비스와 드라이버가 언제 어떻게 실행되는지를 알 수 있습니다. 또한 각 하위키에는 ErrorControl값이 있는데 이 값은 서비스와 드라이버가 정상적으로 실행되었는지 알려줍니다. 그리고 에러가 발생한 경우 에러 메시지를 보여줄지 결정합니다. Start 값이 가질 수 있는 데이터와 ErrorControl값이 가지는 데이터는 아래 표와 같습니다. |
2.1.1 Start 값이 가지는 데이터와 실행 방식 표
데이터 | 실행 방식 |
0 | 윈도우가 시작될 때 부트 로더에 의해 실행됩니다. |
1 | 부팅 과정에서 윈도우 로고가 나올 때 실행 됩니다.(마우스 드라이버 등은 이때 실행 됩니다.) |
2 | 서비스 관리자에 의해 자동 실행 됩니다. |
3 | 사용자 지정에 의해 실행 여부가 결정됩니다. |
4 | 결코 실행되지 않는 서비스나 드라이버 입니다. |
2.1.2ErrorControl 값이 가지는 데이터와 실행 방식 표
데이터 | 실행 방식 |
0 | 실행할 때 에러가 발생해도 무시하고 에러 메시지를 보여주지 않습니다. |
1 | 실행할 때 에러가 발생하면 에러 메시지를 보여줍니다. 일반적으로 대부분의 서비스와 드라이버가 이 값을 가지고 있습니다. |
2 | 실행할 때 에러가 발생하면 "마지막으로 성공한 구성"으로 부팅할 때 사용할 ControlSet으로 이동합니다. "마지막으로 성공한 구성"으로 부팅하는 경우에도 계속해서 에러가 발생하면 에러를 무시합니다. |
3 | 이 데이터를 가진 서비스나 드라이버에 에러가 발생하면 시스템이 정지되면서 에러 메시지를 표시합니다. 이 데이터를 가진 값이 있는 서비스나 드라이버는 윈도우와 관련된 아주 중요한 부분입니다. |
3. SYSTEM→LastKnownGoodRecovery : "마지막으로 성공한 구성"으로 부팅하는 경우 부팅할 정보를 읽어들이기 위해 만들
3. 어 놓은 키입니다. 일반적으로 "(기본값)" 외에 어떤 값도 들어있지 않습니다.
4. SYSTEM→MountedDevices : 컴퓨터의 물리적, 논리적 디스크 파티션에 대한 정보가 저장되어 있습니다. 제어판에서 "관
4. 리도구→컴퓨터 관리→디스크 관리"를 실행해 설정하는 디스크 관리와 관련도니 정보가 저장되어 있습니다.
5. SYSTEM→Select : 윈도우 부팅시 "F8"을 누르면 나타나는 "Windows 고급 옵션 메뉴"에서 각 부팅 메뉴를 선택했을 때, 어
5. 떤 ControlSet을 읽어들일지에 대한 설정값이 저장되어 있습니다.
5.1 SYSTEM→Select 이하
값 | 저장 내용 |
Current | 현재 사용중인 컨트롤 집합 ID를 가지고 있습니다. 즉 HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet에 링크되어 있는 컨트롤 집합입니다. |
Default | 사용자가 부팅 과정을 수동으로 선택하지 않는 경우, 부팅될 때 컴퓨터가 사용할 일반적인 컨트롤 집합 ID를 가지고 있습니다. |
Failed | 가장 최근에 부팅에 실패했을 때 사용되었던 컨트롤 집합 ID를 갖고 있습니다. |
LastKnownGood | "마지막으로 성공한 구성"을 선택해 부팅할 때 사용할 컨트롤 집합 ID를 가지고 있습니다. 이 키에 설정된 컨트롤 집합 ID는 부팅이 실패할 때만 변경됩니다. |
6. SYSTEM→Setup : 윈도우 설치 프로그램이 어떤 설치 단계에 이르렀으며, 현재 어떤 설치가 이루어지고 있느지 알아내는 데 사용하는 설정 정보가 저장되어 있습니다.
6.1 SYSTEM→Setup 이하
값 | 저장 내용 |
OsLoaderPath | 윈도우가 사용하는 부트 로더(Ntldr)가 들어있는 경로가 표시됩니다. |
Setup Type | 설치 프로그램이 그래픽 모드로 실행되고 있는지 (0x00) 설치 프로그램이 텍스트 모드로 실행되고 있는지 (0x01) 아니면 아예 실행되고 있지 않은지 (0x00) 표시합니다. |
SystemPartition | 윈도우가 설치된 시스템 파티션의 경로가 표시됩니다. C 드라이브에 설치되었다면 데이터가 "\Device\HarddiskVolume1"로 표시됩니다. |
SystemSetupInProgress | 시스템이 설치중인 경우에는 1, 그렇지 않은 경우에는 0으로 데이터가 표시 됩니다. |
Comments