실행 (Win + R) , 레지스트리 Registry Regedit

[Jayden Ju.]

1. Press Win+R to open Run.
   
2. Type in regedit and click OK.

자동로그인 netplwiz , 시작프로그램 shell:startup , 제어판 control  , 윈도우 원격제어 mstsc

레지스트리.pdf

사용자관련정보.pdf

http://cafe.daum.net/coffeesoul/nGlk/134?q=%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC

[클라이언트 보안][윈도우 보안] 레지스트리 활용

https://youtu.be/4Ek-SGWdZ5Y

Windows 98에서는 레지스트리 파일 이름이 User.dat와 System.dat이고 Windows Millennium Edition에서는 Classes.dat, User.dat 및 System.dat입니다.

참고 Windows NT, Windows 2000, Windows XP, Windows Server 2003 및 Windows Vista의 보안 기능을 통해 관리자는 레지스트리 키에 대한 액세스를 제어할 수 있습니다.

다음 표에는 시스템에서 사용하는 미리 정의된 키가 나열되어 있습니다. 키 이름의 최대 크기는 255자입니다.

폴더/미리 정의된 키	설명
HKEY_CURRENT_USER	현재 로그온되어 있는 사용자에 대한 구성 정보의 루트가 포함됩니다. 사용자의 폴더, 화면 색상 및 제어판 설정이 여기에 저장됩니다. 이 정보는 사용자 프로필과 관련됩니다. 이 키는 "HKCU"로 간략히 표시되기도 합니다.
HKEY_USERS	컴퓨터에서 로드된 모든 사용자 프로필이 포함됩니다. HKEY_CURRENT_USER는 HKEY_USERS의 하위 키입니다. HKEY_USERS는 "HKU"라고 간략히 표시되기도 합니다.
HKEY_LOCAL_MACHINE	컴퓨터에 특정한 구성 정보가 포함됩니다(임의의 사용자에 해당). 이 키는 "HKLM"으로 간략히 표시되기도 합니다.
HKEY_CLASSES_ROOT	HKEY_LOCAL_MACHINE\Software의 하위 키입니다. 여기에 저장되는 정보는 Windows 탐색기를 사용하여 파일을 열 때 올바른 프로그램이 열리도록 합니다. 이 키는 "HKCR"로 간략히 표시되기도 합니다. Windows 2000에서 시작하는 경우 이 정보는 HKEY_LOCAL_MACHINE과 HKEY_CURRENT_USER 키에 저장됩니다. HKEY_LOCAL_MACHINE\Software\Classes 키에는 로컬 컴퓨터의 모든 사용자에게 적용할 수 있는 기본 설정이 포함됩니다. HKEY_CURRENT_USER\Software\Classes 키에는 기본 설정을 무시하고 대화형 사용자에게만 적용되는 설정이 포함됩니다. HKEY_CLASSES_ROOT 키는 이 두 소스의 정보를 병합하는 레지스트리 뷰를 제공합니다. HKEY_CLASSES_ROOT는 이전 버전의 Windows용으로 설계된 프로그램에 대해서도 이러한 병합된 뷰를 제공합니다. 대화형 사용자에 대한 설정을 변경하려면 HKEY_CLASSES_ROOT에서가 아니라 HKEY_CURRENT_USER\Software\Classes에서 변경해야 합니다. 기본 설정을 변경하려면 HKEY_LOCAL_MACHINE\Software\Classes에서 변경해야 합니다. HKEY_CLASSES_ROOT에 있는 키에 값을 쓰는 경우 시스템은 HKEY_LOCAL_MACHINE\Software\Classes에 정보를 저장합니다. HKEY_CLASSES_ROOT에 있는 키에 값을 쓰고 해당 키가 이미 HKEY_CURRENT_USER\Software\Classes에 있는 경우 시스템은 HKEY_LOCAL_MACHINE\Software\Classes에 정보를 저장하지 않고 HKEY_CURRENT_USER\Software\Classes에 정보를 저장합니다.

제목 : 레지스트리 분석하기 

  사용 환경 : Windows 7

기본 설명

 많이 사용되는 윈도우 환경에서 레지스트에 대해 알고 이를 포렌직 관점에서 활용할 수 있는 방향을 알아보도록 합시다.

내용 

개요

윈도우 레지스트리(Windows Registry)

 마이크로소프트에서는 윈도우 레지스트리에 대한 정의를 Microsoft Windows 98, Windows CE, Windows NT 및 Windows 2000에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는 데 필요한 정보를 저장하는 중앙 계층형 데이터베이스로 정의 합니다.

 자세한 내용은 (http://support.microsoft.com/kb/256986) 를 통해 확인 하시면 되겠습니다.

레지스트리 포렌식 분석의 필요성

윈도우시스템분석의필수요소
  운영체제정보, 사용자계정정보, 시스템정보, 응용프로그램실행흔적, 최근접근문서등
  자동실행항목(Autoruns) 분석, 악성코드탐지
  저장매체사용흔적분석(하드디스크, CD-ROM, USB 등)
사용자/시스템/저장매체사용흔적분석추가적인포렌식분석대상선별

온라인(On-line) 레지스트리분석

활성 시스템에서의 레지스트리 분석하며 RegEdit(regedit.exe), RegEdt32(regedt32.exe)를 이용합니다.  

 자세한 내용은 (http://support.microsoft.com/kb/141377) 참고 하시면 됩니다.

오프라인(Off-line) 레지스트리분석

비활성 시스템(포렌식 복제 드라이브나 이미지)에서의 레지스트리 분석(우리가 밑에서 진행할 부분입니다.)
레지스트리 하이브(Hive) 파일의 수집이 필요
OS버전 별 Hive 파일의 정확한위 치를 알아야함

포렌식 분석은 대부분 오프라인 레지스트리 분석을 대상으로 함

하이브(Hive) 파일

     하이브파일

레지스트리 정보를 저장하고 있는 물리적인 파일

키(Key) 값들이 논리적인 구조로 저장
활성 시스템의 커널에서 하이브 파일을 관리
  - 일반적인 방법으로는 접근 불가

       하이브셋(Hive Set)

활성 시스템의 레지스트리를 구성하는 하이브 파일 목록
SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT, Usrclass.dat, BCD, COMPONENTS 등

구성

HKEY_CLASSES_ROOT를 비롯하여 5개의 가장 상위키(=루트키)를 가짐.
각 루트키 아래의 하위키부터 그 아래의 모든 하위 키를 포함 하는 트리 구조를 하이브(Hive)라고 함
각각의 하이브는 저마다 고유한 저장장소(파일)와 로그 파일을 갖고 있음.

 

루트키

HKEY_CLASSES_ROOT(HKCR)

파일 확장자에 대한 정보 ,각 파일과 프로그램간의 연결에 대한 정보, 마우스 오른쪽 단추의 등록 정보 등
모든 형식의 파일 확장자가 sub key 형태로 구성되어 있음
HKLM\SOFTWARE\Classes키에 동일하게 저장 되어 두 곳이 연동됨, 생성 및 삭제가 같이 이루어짐.

파일연관성과COM(Component Object Model) 객체 등록 정보

HKLM\SOFTWARE\Classes 와 HKU\<SID>\Classes 모음

별도의 하이브를 가지지 않고 다른 루트키의 하위키로 구성된다.

어플리케이션 바인딩을 할 수 있다.

http://forensic-proof.com/archives/294

HKEY_CURRENT_USER(HKCU)

현재 시스템에 로그인 된 사용자의 사용자 프로파일 정보

현재 로그인중인 사용자들에 대한 등록 정보(사용자의 배경화면, 디스플레이 설정이나 단축 아이콘의 정보 등), 응용 프로그램의 우선 순위,보안 접근 허용 여부

HKU 아래 사용자 프로파일 중 현재 로그인한 사용자의 하위키

하위키     :     설명
AppEvents : 사운드, 이벤트 관련 키
CLSID  : COM 객체 연결 정보
Console : 명령 프롬프트 윈도우 설정 정보(가로, 세로크기, 색상등)
ControlPanel : 데스크 탑 테마, 키보드/마우스 세팅 등의 환경 설정 정보
Environment : 환경변수정의
EUDC : 최종 사용자가 정의한 문자 정보
Identities : 윈도우 메일 계정 정보
KeyboardLayout : 키보드 레이 아웃 설정 정보
Network : 네트워크 드라이브 매핑 정보, 환경설정 값
Printers : 프린트 연결 설정
Session Information : 작업 표시줄에 표시 되는 현재 실행되는 프로그램 설정
Software : 로그인 한 사용자 소프트웨어 목록
System : HKLM/SYSTEM 하위키의 일부(Control, Policies, Services)
UNICODE Program Groups : 로그인 한 사용자 시작 메뉴 그룹 정의
Volatile Environment : 휘발성 환경 변수

HKEY_LOCAL_MACHINE(HKLM)

시스템의 하드웨어, 소프트 웨어 설정 및 다양한 환경정보

하드웨어 구성 초기화 파일, 제어판과 밀접
사용중인 하드웨어 및 소프트웨어에 대한 정보
로그온 한 사용자와 관계없이 컴퓨터에 등록된 모든 사용자에게 동일

시스템에 존재하는 하이브 파일과 메모리 하이브 모음

하위키       :      내용

BCD00000000 : Boot Configuration Data 관리(XP의Boot.ini 대체)
COMPONENTS : 설치된 Components와 관련된 정보 관리
HARDWARE : 시스템 하드웨어 디스크립션과 모든 하드웨어의 장치 드라이버 매핑 정보(Volatile hive)
SAM : 로컬 계정 정보와 그룹 정보(시스템 계정만 접근 가능)
SECURITY  : 시스템 보안정책과 권한 할당 정보(시스템 계정만 접근 가능)
SOFTWARE : 시스템 부팅에 필요 없는 시스템 전역 구성 정보(소프트웨어 정보)
SYSTEM : 시스템 부팅에 필요한 시스템 전역 구성 정보
       • 부팅 시 HKLM\SYSTEM 하이브는 물리 메모리로 로드 되기 때문에 하이브 파일 크기에 제한

HKLM\SYSTEM\CurrentControlSet

  - 디바이스 드라이버와 서비스 등 시스템 환경 설정 정보

  - ControlSet00N에 대한 링크

  - Select 키의 Current 값에 따라 현재 사용 중인 ControlSet 확인

HKEY_USERS(HKU) 

시스템의 모든 사용자와 그룹에 관한 프로파일 정보 

이전 사용자 초기화 파일을 보관
두 키 사이가 겹치면 HKEY_CURRENT_USER가 우선시 된다.

사용자 루트 폴더에 존재하는 NTUSER.DAT 파일의 내용이다.

모든 사용자의 프로파일과 사용자 클래스 등록 정보이다.

HKEY_CURRENT_CONFIG(HKCC) 

시스템이 시작할 때 사용되는 하드웨어 프로 파일 정보 

현재 사용중인 윈도의 디스플레이(화면 글꼴이나 해상도) 정보와 프린터 관련 정보
HKLM\Config키의 내용과 같음

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의 내용

별도의 하이브 파일을 가지지 않는다.

현재 활성화 되어 있는 하드웨어 프로파일 정보 참조
HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 의 링크이다.

HKEY_PERFORMANCE_DATA(HKPD) 

성능 정보를 저장 

성능 카운트(레지스트리 편집기를 통해 접근 불가, 레지스트리 함수로만 접근)

HKPD 성능카운터 : http://msdn.microsoft.com/en-us/library/aa371643(v=vs.85).aspx

  시스템의 성능을 측정하여 관리하는 메커니즘운영체제, 응용프로그램에서 활용
  레지스트리 편집기를 통해 접근불가
  RegQueryValueEx()와 같은 레지스트리 함수를 통해 접근가능

이 외에 자세한 레지스트리 내부를 확인 하고 싶으신 분들은

http://forensic-proof.com/slides 의 [FP] 레지스트리 포렌식과 보안 (Registry Forensics & Security)를 참고 하시면 됩니다.

기본 시스템 정보 확인

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

 기본 시스템 정보확인이 가능하다.

ProductName : 운영체제 이름
Owner : 사용자 이름
Organization : 조직 이름
ProductId : 운영체제 식별자
BuildLab(Ex) : 운영체제 세부 버전
InstallDate : 운영체제 설치 날짜(유닉스 시간 형식)
SystemRoot : 운영체제 설치 루트 폴더

cmd 창에서 systeminfo 를 활용하여 활성정보 수집을 진행 할 수 있다.

컴퓨터 이름 확인

HKLM\SYSTEM\ControlSet00X\Control\ComputerName\ActiveComputerName

 ComputerName 를 확인 하면 시스템 속성에 있는 컴퓨터 이름을 확인 할 수 있다.

시스템 마지막 종료 시간

HKLM\SYSTEM\ControlSet00X\Control\Windows
ShutdownTime–마지막 종료 시각 저장된다.

 대신 인코딩이 되어 있기 때문에 디코더를 이용하여 OS버전과 맞춰 확인 해야한다.

   아래 링크를 통해서 프로그램을 받고, ShutdownTime 데이터를 Value to Decode에 입력하고 Decode를 하게 되면

   Date & Time에 출력된다.   ( 아래 2013년 11월 28일 목요일 06:44:24 UTC에 종료 된 기록을 알 수 있다. )

   http://www.digital-detective.co.uk/freetools/decode.asp

응용 프로그램 사용 로그 확인

Windows 2000/XP/Vista

•{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count
•{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows 7

•{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
•{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count

 값 이름의 경우 ROT 13으로 인코딩이 되어 있다.

 http://web.forret.com/tools/rot13.asp 사이트에서 디코딩을 해서 보게 되면 내용을 알 수 있다.

 아래 그림의 경우 4개의 값을 동시에 넣고 확인 해보니 4개의 정보가 출력 되었다.

 응용 프로그램 종류, 최종 실행 시각, 실행 횟수, 세션 아이디 확인 가능하다.

하나의 값을 분석 해보도록 하자.

HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count

값을 ROT 13 디코딩을 하면 아래 와 같이 Internet Explorer.lnk 동작한 것을 알 수 있다.

그림판 파일 목록 확인

 HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Applet‎s\Paint\Recent File List

 File번호가 낮을 수록 최근 열어본 파일이다. - 그리판 종료 시점에 저장된다.

 아래 그림을 보면 File1이 레지15png.png 인걸 알 수 있다.(먼저 작업한 건 레지 7,8,9 .... 14,15 순서이다.)

 

MS OFFICE 사용 흔적 확인

각 응용 프로그램 및 버전 별로 다양한 흔적 저장된다.
최근 열린 폴더, 최근 사용한 파일, 최근 사용한 페이지, 최근 접근한 URL 등등 확인 할 수 있다.

최근열린폴더 : HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\Place MRU
최근사용한파일 : HKU\{USER}\SOFTWARE\Microsoft\Office\{VERSION}\{APP}\File MRU(Recent Files)

한글 사용 흔적

최근 사용한 파일
한글2005  : HKU\{USER}\SOFTWARE\HNC\Hwp\6.5\RecentFile
한글2007  : HKU\{USER}\SOFTWARE\HNC\Hwp\7.0\HwpFrame\RecentFile
한글2010  : HKU\{USER}\SOFTWARE\HNC\Hwp\8.0\HwpFrame\RecentFile

찾기/ 바꾸기 목록

HKU\{USER}\SOFTWARE\HNC\Hwp\FindReplace\Find

곰플레이어 사용 흔적

 HKU\{USER}\SOFTWARE\GRETECH\GomPlayer\OPTION

최근 열린 폴더, 최근 사용한 파일 목록, 다양한 설정 정보 저장

아래 그림과 같이 sRecentFolder을 보게 되면 최근에 Gomplayer로 보았던 경로가 표시된다.

Adobe Acrobat PDF 사용 흔적

HKU\{USER}\SOFTWARE\Adobe\Adobe Acrobat\{version}\AVGeneral\cRecentFiles
HKU\{USER}\SOFTWARE\Adobe\Acrobat Reader\{version}\AVGeneral\cRecentFiles

cRecentFiles에서 c1,c2도 마찬가지로 역순으로 c1이 가장 최근, c2가 2번째 최근.. 순으로 표시 되는걸 알 수 있다.

 이 외에도 다양한 어플리케이션에 대해 접근 하여 확인 해보도록 하자.

Windows 2000/XP 검색어목록

윈도우 2000/XP 탐색기에서 검색을 사용 할 경우 검색어 목록

HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\#### 

인터넷검색
  - HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5001
모든파일및폴더검색
  - HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5603
파일에들어있는단어나문장/그림, 음악또는비디오검색
  - HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5604
프린터, 컴퓨터또는사람/네트워크에있는컴퓨터/컴퓨터찾기검색 

  - HKU\{USER}\SOFTWARE\Microsoft\Search Assistant\ACMru\5647

Windows 7

HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

아래 보시다 싶이 검색한 내용을 알 수 있다. 가장 최근에 검색한 부분이 표시된다.

MRUListEx 키 값을 통해 검색어 사용 순서 확인 가능 하다.

최근 열어본 파일 

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\RecentDocs 

Windows Explorer를 통해서 최근에 Open된 파일의 목록을 기록하고 있음
이 키는 %USERPROFILE%\Recent (My Documents, 내 최근 문서)와 동일
이 키는 해당 Local 또는 Network 파일을 포함하고 있으며 파일명 만을 Binary 형태로 기록하고 있음
OpenSaveMRU 키와 같이 파일 확장자로 구분되어 있음
Subkey “ Folder”는 최근에 Open한 파일의 폴더(Drive 문자 표시, 부모 폴더가 없는 해당 파일의 폴더) 목록을 유지함 

이것 역시 MRUListEx를 키값을 통해 열어본 순서 확인이 가능하다.     

 

      계산기를 이용하여 확인 열었던 파일이 몇 번째인지도 확인이 가능하다.

최근 실행한 명령

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\RunMRU

[시작]->[실행]에서 수행하여 기억하고 있는 명령어(ex: cmd, regedit, 등) 목록
이 키에서 명령어 목록을 삭제하더라도 실행의 command box에 남아있는 history list 가 삭제되지 않으며, Windows 의 시작 > -로그오프 또는 컴퓨터 끄기를 클릭했을 때 삭제됨
초기 분석이 이루어져야 하는 부분 

MRUList를 통해 순서를 확인 할 수있다. 데이터를 보게 되면 사용 했던 명령어를 볼 수 있다.

  

USB 저장 매체 인식 절차 

1. USB 저장 매체가 연결 되면 버스 드라이버는 PnP 관리자에게 장치의 고유한 식별번호(device descriptor)를 사용하여 연결 알림
  -  device descriptor : 제조사, 일련번호, 드라이버 정보 등을 포함한다. 

2. PnP 관리자는 받은 정보를 기반으로 Device Class ID를 설정 하고 적절한 드라이버 검색

3. 드라이버가 없을 경우 사용자 모드의 PnP 관리자는 해당 장치의 펌웨어로 부터 드라이버를 전달 받아 로드하고 레지스트리에 기록

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{DID, device class identifier}
HKLM\SYSTEM\ControlSet00X\Control\DeviceClasses\{GUID} 

 4.장치 드라이버 설치 과정은 로그파일에 저장된다.

결과적으로 로그파일(setupapi.log) 및 레지스트리를 통해 USB 장치의 흔적 파악 가능하다.

 레지스트리 키 마지막 수정 시간 정보 확인 시 주의사항

각 레지스트리 키에는 해당 키의 마지막 수정 시간이 저장
마지막 수정 시간 정보를 활용하여 USB의 다양한 흔적 파악 가능

단, Enum\USB, Enum\USBSTOR 하위키의 시간은 고려되지 않아야 함
보안정책에 의해(윈도우Vista/7) PnP 관리자가 하위키 보안 토큰 설정을 위해 수시로 접근

SetupAPILogging

windows 2000/XP : %SystemRoot%\Setupapi.log

Windows 7 : %SystemRoot%\inf\Setupapi.dev.log

윈도우시스템에서 외장형 저장장치 흔적을 확인하기 위해선 대표적으로 System 레지스트리와 setupapi.log파일을 분석하며, 아래와 같은 정보를 얻을 수 있다.

- 볼륨명

- 시리얼넘버

- 볼륨 GUID

 - Product ID

- 최초연결 시간

- 부팅 이후 최초 연결 시간

- 마지막 연결 시간

- 마지막 연결 해제 시간

- 저장매체를 사용한 사용자 계정

외장형 저장장치(setupapi.log)
윈도우 시스템은 운영체제가 설치되는 시점부터 연결되는 모든 장치들에 대한 설치과정 (드라이버 설치 등)을 setupapi.log 파일에 저장함 2000/XP %SystemRoot%\Setupapi.log  

Vista/7 %SystemRoot%\ inf\Setupapi.dev.log

- DISK&VEN_[제조사명]&PROD_[제품명]&REV_[버전번호]

- [시리얼번호]&#

- 시리얼 번호가 없을 시 : #&[PnP 관리자 생성 번호]&#

 

저장 매체 정보

HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR
USB 장치 정보 저장
USBSTOR의 Subkey를 분석할 경우 이미 해당 시스템에 서 사용하거나 사용했던 USB 장치를 확인할 수 있음
Device Class ID : Disk&Ven_XXX&Prod_XXX&Rev_XXX
제조사, 제품명, 버전을 알 수 있음
Unique instance ID : USB 장치의 Unique ID로서 동일 Device Class ID 를 갖더라도 장치별로 구별됨
HKLM\SYSTEM\MountedDevices 를 참조하여 어떤 USB 장치가 어떤 드라이브(C:, D:,,,)에 mount 되어 있는지 확인 할 수 있음

(Unique instance ID\ParentIdPrefix 키 이용)

 Device Class ID 형식을 통해 제조사, 제품명, 버전정보 확인

 

 

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{Device Class ID}
Device Class ID 하위키의 Unique Instance ID 형식을 통해 시리얼 번호, USB뿐 아니라 외장 하드도 확인 가능하다.

 

HKLM\SYSTEM\ControlSet00X\Enum\USB

VID_####&PID_#### 제조사ID, 제품ID 가 확인 가능 하다.

 

볼륨명

 

HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices

하위키 중 제품명 또는 시리얼번호를 포함하는 키 검색
FriendlyName
    장치명이 설정 된 경우 : 설정한 장치 명
    장치명이 설정 되지 않은 경우 : 연결된 볼륨명

 

 

 

 증거에 조금 더 효과적인 방향을 제시하기 위해 레지스트리 분석을 진행 하는 부분도 있을 수  있습니다. 이때 모든 레지스트리 분석도 알면 좋겠지만 최소한 아래 내용들은 포함할 수 있을 정도로 숙지하면 도움이 될 것으로 생각됩니다.

위에 언급되어 있는 부분  

마. 윈도우 검색 정보

바. 최근 접근 흔적 - 열어본 파일/명령

사. USB 장치 연결 정보(USB, 볼륨) 

+ 아래 내용들  

최근에 열었거나 ,실행, 수정한 문서에 대한 사용 흔적 

최근 열었던 기록

2000/XP 

HKEY_USER\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\OpenSaveMRU\[확장자]

Vista/7  

HKEY_USERS\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\OpenSavePidMRU\[확장자] 

최근 Open되거나 Save된 파일 목록을 기록 유지
Windows 에서 기본으로 제공되는 Open/Save Dialog Box에 의해서 Open되거나 Save 된 파일을 대상으로 함
Subkey ‘*’는 해당 파일의 Full Path를 저장하며 10개의 목록을 기록
다른 Subkey는 파일 확장자 별로 10개의 파일 목록을 기록

OpenSaveMRU에 새로운 항목이 추가되면 이 키에 새로운 값이 생성되거나 수정됨
파일이 Save되는 경우 폴더 Path는 대상 폴더의 Path가 되고 파일이 Open되는 경우 폴더 Path는 Open되는 파일의 폴더 Path가 됨
만약 동일한 실행 파일명이 이미 존재한다면 폴더 Path 부분 만 수정됨

최근 실행한 기록

파일명

2000/XP

HKEY_USERS\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\LastVisitedMRU

Vista/7

HKEY_USERS\[SID]\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\Comdlg32\LastVisitedPidMRU

이 키에 존재하는 각각의 Registry 값은 Binary 형태로 최근 사용된 실행 프로그램의 파일명이 남음

사용자별 프로그램 확장자 목록별 최근에 실행했던 파일 및 디렉토리 기록

프로그램이 접근한 기록

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 

-사용자가 접근한(실행한) 프로그램이, shortcut, control panel , applet‎ 등을 기록
-이 키에는 2개의 GUID subkey가 존재하며 5E6으로 시작되는 subkey는 IE toolbar에 대한 것이고 750으로 시작되는 subkey는 Active Desktop에 관한 것
-이 키에 존재하는 값들은 “ROT3” 암호화 알고리즘으로 암호화 되어 있음
-참고 링크 : http://blog.didierstevens.com/programs/userassist/ 

-ROT13 : 알파벳 문자에 13을 더한 값으로 암호화(복호화는 3) 

 다. 레지스트리 분석 - 응용 프로그램 정보 부분을 보시면 ROT13을 복호화 방법을 알 수 있습니다.

마운트 된 저장 장치

HKLM\SYSTEM\MountedDevices 

NTFS 파일 시스템에 의해서 사용된 mount 되어진 Volume 목록을 유지
\DosDevices\?(= C:, D: ..) 값은 각각의 Volume을 식별하는 정보를 포함
Volume을 식별하는 정보 중에서 그 내용에 “STORAGERemovable Media”가 포함된 경우 해당 장치는 이동 식 디스크임을 알 수 있음
\DosDevices\? 값에는 ParentIdPrefix가 포함되어 있으므로 어떤 USB 장치가 어떤 드라이브에 Mount되었는지 확인 할 수 있음 

 

 

정리

 아직 다 정리가 되지 않았습니다. 계속 해서 수정 보안 진행 하겠습니다.~!

레지스트 : HKEY_CURRENT_USER→Control Panel

하위키	저장 내용
Control Panel	제어판 관련 내용으로 제어판에서 시작적인 효과를 담당하는 디스플레이, 마우스 등의 설정을 가지고 있으며 바탕화면에 대한 설정 내용도 가지고 있습니다.

1. Control Panel→Accessibility : 밝기, 키보드 반응 속도 등 제어판의 "내게 필요한 옵션"에서 설정한 내용이 들어 있습니다.

2. Control Panel→Appearance : "디스플레이 등록 정보"에 "화면 배색"탭에서 설정한 내용이 들어 있습니다.

2. ("디스플레이 등록 정보"는 바탕화면에서 마우스 우클릭 후 "속성(R)"으로 들어가면 됩니다.)

  2.1 →New Schemes : "디스플레이 등록 정보"에 "화면 배색"탭에 고급을 눌렀을 때 열리는 "고급 화면 배색"에 포함되어 있

  2.1 는 색 구성표 목록입니다.

    2.1.1 →Current Settings SaveAll : 현재 윈도우에 설정된 화면 배색정보가 들어 있습니다.

    2.1.1 →Current Settings SaveNoVisualStyle :

    2.1.1 제어판에서 "시스템 등록 정보"에 "고급"탭에 성능 항목에 설정을 누르면 "최적 성능으로 조정(P)"부분이 보이는대 이

    2.1.1 부분의 화면 배색 설정 등이 들어가 있습니다. 최적 성능으로 조정을 하게 되면 윈도우 98/ME/2000에 인터페이스로

    2.1.1 바뀌게 됩니다.

("시스템 등록 정보"는 바탕화면에 내컴퓨터에서 마우스 우클릭 후 "속성(R)"으로 들어가면 됩니다. / 단축키 : Win + Break)

  3. Control Panel→Colors : 단추, 텍스트 등을 표시할 색상에 관한 정보가 들어 있습니다.

  4. Control Panel→Current : 현재 읽어드린 "화면 배색 설정" 정보가 들어 있습니다.

  5. Control Panel→Cursors : "마우스 등록 정보"에 "포인터"탭에서 설정한 마우스 구성표와 관련 정보가 들어 있습니다.

  6. Control Panel→Custom Colors : 사용자가 정의한 "화면 배색 설정"정보가 들어 있습니다.

  7. Control Panel→Desktop : 바탕화면의 구성과 화면 배색, 바로가기 아이콘 등과 관련된 설정 내용이 들어 있습니다. "디스

  7. 플레이 등록 정보"에 "화면배색"탭에서 고급을 누른다음 "고급 화면 배색"에 항목 부분 펼침메뉴를 누르면 윈도우 화면을

  7. 구성하는 여러 개체가 보이는대 이 개체에 대한 세부 설정 사항이 들어 있습니다.

    7.1 →WindowsMetrics :

    7.1 IconSparcking 값에 바탕화면에 보이는 바로가기 아이콘 사이의 간격이 지정되어 있습니다.

    7.1 IconTitleWrap 값에는 아이콘 이름이 길 경우 이름을 모두 보여줄 것인지에 대한 설정값으로 1이면 숨김입니다.

    7.2 HKCU→Control Panel→Desktop의 값과 저장 내용

값	저장 내용	데이터
ActiveWindTrkTimeout	시스템이 종료 될 때 아무런 경고 메시지 없이 실행중인 작업을 자동으로 종료합니다.	0
DragHeightDragWidth	마우스의 드래그 조작 감지 범위(상하 좌우)를 조절합니다.	4
FontSmoothing	고해상도에서 글자가 선명하게 보이도록 글자 가장자리를 부드럽게 처리합니다. "디스플레이 등록 정보→화면 배색" 효과에 "화면 글꼴의 가장자리를 다음는데 다음 방법 사용"에 항목과 같은 값 입니다.	2(사용) 0(사용안함)
HungAppTimeout	프로그램이 지정된 시간 안에 제대로 응답하지 않으면 사용자에게 프로그램을 종료시키라는 메시지를 띄웁니다. 단위는 밀리 세컨드로 오른쪽의 5000은 5초를 의미 합니다.	5000
MenuShowDelay	<시작>단추를 누른 다음 "▶"표시가 있는 메뉴에 마우스 포인터를 가져갔을때 하위 메뉴가 열리는 시간을 정의 합니다.	400
ScreenSaveActive	화면보호기의 작동 유무로 0이면 지정된 시간이 지나면 작동 합니다.	0
SCRNSAVE.EXE	현재 사용하는 화면 보호기가 등록 되어있습니다.
TileWallpaper	배경 그림의 위치를 지정 합니다.	0(가운데) 1(바둑판식)
WaitToKillAppTimeout	지정된 시간 동안 응용 프로그램이 응답이 없으면 강제 종료 시킵니다. 기본값에 단위는 HungAppTimeout과 동일합니다.	20000
Wallpaper	배경 그림으로 사용하는 파일이 정의되어 있습니다.
WheelScrollLines	휠 마우스의 스크롤 줄수가 정의되어 있습니다.	3

  8. Control Panel→don't load : 호환되지 않는 CPL 파일에 대해 정의되어 있습니다.

  9. Control Panel→Input Method : 사용자가 정의한 단축 글쇠에 대한 정보가 들어 있습니다.

  10. Control Panel→International : 제어판의 "국가 및 언어 옵션"부분 설정 내용이 들어 있습니다.

  11. Control Panel→Keyboard : [Caps Look], [Num Lock], [Scroll Lock]키에 초기화 상태에 대한 정보와 제어판에서

  11. "키보드"부분 설정이 정의되어 있습니다.

    11.1 HKCU→Control Panel→Keyboard의 값과 저장 내용

값	저장 내용
InitialKeyboardIndicators	사용자가 로그오프할 때 [Num Lock]을 켤지, 끌지를 설정 합니다. 0이면 끄고, 2면 켭니다.
KeyboardDelay	키보드의 재입력 시간이 지정되어 있습니다. 데이터는 0~3 사이의 값으로 0은 250ms로 3은 1초입니다.
KeyboardSpeed	키 속도 조정으로 기본값은 29이며 속도가 빠를수록 값이 높습니다.

  12. Control Panel→Mouse : "마우스 등록 정보"에서 설정한 마우스 속도, 트랙킹 등 마우스 관련 정보가 들어 있습니다.

    12.1 HKCU→Control Panel→Mouse

값	저장 내용	데이터
ActiveWindowTracking	마우스 포인터 자국의 표시 유무로 1이면 표시, 0이면 표시하지 않습니다.	0
DoubleClickHeight	더블 클릭의 지정범위 정보를 정의 합니다.(상하 계념)	4
DoubleClickSpeed	마우스의 더블클릭 속도가 정의되어 ~ms단위로 500은 0.5초를 말합니다.	500
DoubleClickWidth	더블 클릭의 지정범위 정보를 정의 합니다.(좌우 계념)	4
MouseSpeed	마우스가 움직이는 속도를 정의 합니다.	1
SnapToDefaultButton	마우스가 기본단추로 이동하는 기능을 정의하며 1이면 마우스가 버튼으로 자동이동하게 됩니다.	0
SwapMouseButtons	마우스의 왼쪽 오른쪽 구분으로 1일 경우 왼쪽과 오른쪽 마우스의 기능이 바뀌게 됩니다.(왼속잡이용)	0

  13. Control Panel→Patterns : 바탕화면의 무늬를 구성하는 정보를 갓고 있습니다.

  14. Control Panel→PowerCfg : 제어판의 "전원 옵션"에서 사용하는 전원구성표 및 절전 모드 사용 여부 등의 정보가 들어 있

  14. 습니다.

    14.1 →PowerPolicies : 전원 구성표 목록으로 각 하위키의 Name 값으로 알 수 있습니다.

  15. Control Panel→Screen Saver.xxx : 윈도우에서 제공하는 기본 화면보호기에 대해 정의되어 있습니다.

  16. Control Panel→Sound : 윈도우에서 사용하는 소리에 관한 정보가 들어 있습니다.(비프음 등)

레지스트 : HKEY_CURRENT_USER→AppEvents

하위키	저장 내용
AppEvents	윈도우와 윈도우용 프로그램이 사용하는 각 이벤트에 대한 효과음 등을 정의

1. AppEvents→EventLabels : 윈도우에서 일어나는 모든 이벤트와 이벤트에 해당하는 효과음을 모아 놓은 키입니다.

2. AppEvents→Schemes : 현재 로그온한 사용자가 사용하는 효과음과 관련된 설정 내용이 들어있습니다.

  2.1 →Apps : "사운드 및 오디오 장치 등록 정보"에 "소리" 탭에서 "프로그램 이벤트" 항목에 소리 이벤트가 이 키의 하위키로

  2.1 저장되어 있습니다.

    2.1.1 →.Defaults : 윈도우 이벤트에 적용된 효과음에 대한 설정, 윈도우 자체 이벤트에 대한 설정, 응용 프로그램을 설치하

    2.1.1 면 생기는 사운드 설정까지 저장되어 있습니다.

    2.1.2 →Explorer : 인터넷 익스플로러를 사용할 때 발생하는 소리 설정이 저장되어 있습니다.

    2.1.3 →MSMSGS : 네트워크 시스템에서 메시지 전송시 사용되는 소리설정이 저장되어 있습니다.

    2.1.4 → MSNMSGR : MSN 메신절르 사용할 때 발생하는 소리에 대한 설정이 저장되어 있습니다.

  2.2 →Names

    2.2.1 →.Default : "사운드 및 오디오 장치 등록 정보"에 "소리" 탭에 있는 "소리 구성표" 항목에서 지정한 소리 구성표가 기록

    2.2.1 됩니다.

    2.2.2 →.Conf : "사운드 및 오디오 장치 등록 정보"에 "소리" 탭에 "프로그램 이벤트" 항목에 있는 소리 이벤트가 이키의 하위

    2.2.2 키로 저장 됩니다.

레지스트 : HKEY_CURRENT_USER

HKEY_CURRENT_USER에 하위 키는 13가지가 있으며 각자 하는일이 있습니다. 

하위키	저장 내용
AppEvents	윈도우와 윈도우용 프로그램이 사용하는 각 이벤트에 대한 효과음 등을 정의
Console	제어판 관련 내용으로 제어판에서 시작적인 효과를 담당하는 디스플레이, 마우스 등의 설정을 가지고 있으며 바탕화면에 대한 설정 내용도 가지고 있습니다.
Control Panel	이름에서 보이듣 제어판입니다. 제어판에서의 설정이 저장되어 있습니다.
Environment	환경변수가 저장되는 부분이며 시스템 전체에 걸쳐 적용되는 환경변수는 HKLM→System→CurrentControlSet→Control→Session Manager→Environment에 저장됩니다.
EUDC	EUDC(End User Defined Characters) "사용자 정의 문자 편집기"와 관련된 내용이 들어있습니다.
Identities	메신저나 아웃룩 프로그램 등을 사용하는 개인 설정이 저장되어 있습니다. C:\Document and Settings\[사용자 이름]\Application Data\Identities폴더에 프로그램의 사용 환경이 저장되어 있습니다.
Keyboard Layout	키보드의 등록 정보가 들어있습니다.(언어와 형식 등)
Printers	프린터와 관련된 정보가 들어있습니다.(기본 프린터, 네트워크 프린터 등)
SessionInformation	컴퓨터의 작업내용이 들어있는 키로 XP에만 있습니다. ProgramCount 값에는 현재 윈도우에서 실행중인 프로그램 수가 표시됩니다.
Software	설치된 응용 프로그램들에 대한 정보와 설정 내용이 들어 있습니다. 응용 프로그램이 32비트를 지원하지 않는다면 별다른 정보가 기록되지 않고 프로그램 이름만 기록됩니다. 사용자에 따른 설정은 HKCU→Software에 저장되고 시스템 전반에 걸친 설정은 HKLM→Software에 저장됩니다. 하지만 대부분의 응용 프로그램이 시스템 전반에 걸친 설정 내용을 따로 갖고 있지 않기 때문에 모든 데이터는 HKCU→Software에 저장된다고 할 수 있습니다.
UNICODE Program Groups	유니코드를 사용한 윈도우 NT 이전 버전의 프로그램 그룹 설정을 보관합하고 있습니다.
Volatile Environment	현재 로그온한 사용자의 정보가 저장된 폴더 경로와 로그온 서버와 관련된 정보가 저장되어 사용자가 로그온할 때마다 사용자에 맞는 정보와 환경 설정값이 저장됩니다.
Windows 3.1 Migration Status	윈도우 2000/XP에만 있는 키로 윈도우 3.x 버전에서 윈도우 2000/XP로 업그레이드 한 경우, 윈도우 2000/XP의 제를 대비해 윈도우 3.x와 관련된 정보를 정리해 놓았습니다.

틀린부분은 알려주시면 수정하도록 하겠습니다.

참고서적 : 난, 레지스트리로 PC 관리한다 / 이순원 지음

---

Windows 레지스트리는 Windows 운영체제의 주요 구성 요소 중 하나입니다.

이 계층 데이터베이스에는 Windows 설정, 응용프로그램 설정, 장치 드라이버 정보 및 사용자 암호가 포함됩니다.

응용프로그램이 설치되면 소프트웨어의 일부가 레지스트리 파일 (예 : RegEdit.exe)에 저장됩니다.

이 문서에서는 Windows10 레지스트리 파일을 만들고 편집하는 과정을 안내합니다.

레지스트리 파일을 변경하기 전에 전체 레지스트리 데이터베이스를 백업해야 합니다.

이렇게 하면 문제가 발생하면 이 파일에서 원래 설정을 가져올 수 있습니다.

레지스트리 데이터베이스를 백업하는 방법

Windows 10에서 레지스트리 편집기에 액세스하려면 검색창에 Regedit를 입력 하십시오.

 + S (검색)

Regedit 옵션을 마우스 오른쪽 버튼으로 클릭하고 “관리자로 열기”를 선택하십시오.

또는 Windows 키 + R키 를 눌러 실행 대화 상자를 열 수 있습니다. 이 상장에 regedit를 입력하고 확인을 누를 수 있습니다.

 + R (실행)

다음으로 File> Export를 틀릭하십시오. 파일 이름을 입력하고 레지스트리 파일을 저장하십시오.

전체 데이터베이스를 저장하거나 선택한 범위를 선택할 수 있습니다.

내 보낸 레지스트리 파일은 기본적으로 자동으로 .reg 확장자를 갖습니다.

★ 반드시 전체 레지스트리를 백업할려면 하단 컴퓨터 클릭한 상태에서 내보내기 해야 합니다.

다음으로 파일(F) > 내보내기(E)를 클릭하십시오. 파일 이름을 입력하고 레지스트리 파일을 저장하십시오.

전체 데이터베이스를 저장하거나 선택한 범위를 선택할 수 있습니다.

내 보낸 레지스트리 파일은 기본적으로 자동으로 .reg 확장자를 갖습니다.

---

새 레지스트리 파일을 만드는 방법

레지스트리 파일은 .reg 확장자로 이름이 바뀐 간단한 텍스트 파일입니다.

파일이 올바르게 구성되면 간단히 클릭하여 Windows 레지스트리를 변경할 수 있습니다.

다음은 새 레지스트리 파일을 작성하는 방법에 대한 예입니다.

먼저 메모장을 열고 다음 구문을 입력하십시오.

텍스트 파일을 컴퓨터에 저장 한 다음 마우스 오른쪽 버튼으로 클릭하고 .reg 확장자로 이름을 바꿉니다.

이제 이 파일을 두 번 클릭하면 레지스트리가 변경됩니다.

---

다음은 DNS 서비스를 자동으로 시작할 수 있는 다른 예입니다. 다음 구문을 사용하여 .reg 파일을 만듭니다.

참고 : 서비스를 수동으로 시작하려면 데이터 값을 00000003으로 변경하십시오.

       비활성화 하려면 데이터 값을 00000004로 변경하십시오.

---

레지스트리를 편집하는 방법

레지스트리 편집기를 사용하여 현재 레지스트리 파일을 변경할 수 있습니다.

다음은 브라우저의 홈페이지를 변경 할 수 있는 예입니다. 

(악성프로그램이 브라우저의 홈페이즤를 도용 한 경우에 특히 유용합니다.)

먼저 윈도우즈 검색 창에 Regedit를 입력하거나 Windows 키 + R (실행) 방법을 사용하여 Regedit를 입력하여 레지스트리 편집기를 엽니다.

컴퓨터\HKEY_CURRENT_USER 옆의 + 부호를 클릭 한 다음 Software\Microsoft\Internet Explorer를 클릭하십시오.

다음으로 Main을 마우스 오른쪽 버튼으로 클릭하고 내보내기(E)를 선택한 다음 파일을 컴퓨터에 저장하십시오.

마지막으로 파일을 마우스 오른쪽 버튼으로 클릭하고 "연결프로그램"을 선택한 다음 메모장을 선택하십시오.

파일을 열면 다음과 같습니다.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Anchor Underline"="yes"

"Disable Script Debugger"="yes"

"DisableScriptDebuggerIE"="yes"

"Display Inline Images"="yes"

"Do404Search"=hex:01,00,00,00

"Save_Session_History_On_Exit"="no"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Show_FullURL"="no"

"Show_StatusBar"="yes"

"Show_ToolBar"="yes"

"Show_URLinStatusBar"="yes"

"Show_URLToolBar"="yes"

"Use_DlgBox_Colors"="yes"

"UseClearType"="no"

"XMLHTTP"=dword:00000001

"Cache_Update_Frequency"="Once_Per_Session"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Enable Browser Extensions"="yes"

"Play_Background_Sounds"="yes"

"Play_Animations"="yes"

"OperationalData"=hex(b):0d,02,00,00,00,00,00,00

"CompatibilityFlags"=dword:00000000

"FullScreen"="no"

"Window_Placement"=hex:2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,\

  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,9c,00,00,00,9c,00,00,00,81,05,00,00,ed,03,00,\

  00

"ImageStoreRandomFolder"="n4u8x96"

"IE10RunOncePerInstallCompleted"=dword:00000001

"IE10RunOnceCompletionTime"=hex:82,a9,0f,a1,6f,c1,d5,01

"IE10TourShown"=dword:00000000

"IE10TourShownTime"=hex:b1,e9,0e,90,62,14,d2,01

"DownloadWindowPlacement"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,\

  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,e8,02,00,00,15,01,00,00,68,05,00,00,f5,\

  02,00,00

"ScriptDebugger_EnableHiddenTabs"=dword:00000000

"ApplicationTileImmersiveActivation"=dword:00000001

"AssociationActivationMode"=dword:00000000

"StatusBarWeb"=dword:00000001

"ForceGDIPlus"=dword:00000000

"AlwaysShowMenus"=dword:00000000

"ShutdownWaitForxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxOnUnload"=dword:00000000

"DNSPreresolution"=dword:00000008

"SpellChecking"=dword:00000001

"LangToolsBroker"="{5bbd58bb-993e-4c17-8af6-3af8e908fca8}"

"DisablePasswordReveal"=dword:00000000

"DisableRequiresActiveXPrompt"=""

"GotoIntranetSiteForSingleWordEntry"=dword:00000000

"AutoSearch"=dword:00000001

"SuppressScriptDebuggerDialog"=dword:00000000

"PredictedViewExpansion"=dword:00000064

"PredictedViewChangeThreshold"=dword:0000000a

"PredictedViewChangeThresholdPaint"=dword:0000000a

"ContentLayerCacheExpansion"=dword:0000012c

"RenderingLoopMaxTime"=dword:000000fa

"NscSingleExpand"=dword:00000000

"Error Dlg Displayed On Every Error"="no"

"NotifyDownloadComplete"="no"

"Friendly http errors"="yes"

"CSS_Compat"="doctype"

"Expand Alt Text"="no"

"Display Inline Videos"=dword:00000001

"Use Stylesheets"=dword:00000001

"SmoothScroll"=dword:00000001

"Show image placeholders"=dword:00000000

"Disable Diagnostics Mode"="no"

"Move System Caret"="no"

"Enable AutoImageResize"="yes"

"UseThemes"=dword:00000001

"UseHR"=dword:00000000

"Q300829"=dword:00000000

"Cleanup HTCs"=dword:00000000

"XDomainRequest"=dword:00000001

"DOMStorage"=dword:00000001

"EnableAlternativeCodec"="yes"

"JScriptProfileCacheEventDelay"=dword:00001388

"HideLocalHostIP"=dword:00000000

"CrossfadeMinTimeoutInMS"=dword:00007530

"CrossfadeMaxTimeoutInMS"=dword:00007530

"CrossfadeCurrentTimeoutInMS"=dword:00007530

"ScrollTimeoutInMS"=dword:00001770

"DisableFirstRunCustomize"=dword:00000003

"IE10RunOnceLastShown"=dword:00000000

"IE10RunOnceLastShown_TIMESTAMP"=hex:94,a2,55,32,80,a8,d4,01

"IE10TourNoShow"=dword:00000000

"IE10RecommendedSettingsNo"=dword:00000000

"FrameTabWindow"=dword:00000001

"AdminTabProcs"=dword:00000001

"SessionMerging"=dword:00000001

"FrameMerging"=dword:00000001

"HangRecovery"=dword:00000001

"DesktopTransparentCoverWindowTime"=dword:00000008

"TSEnable"=dword:00000001

"Isolation"="PMIL"

"Isolation64Bit"=dword:00000000

"IsolationImmersive"="PMEM"

"TabShutdownDelay"=dword:0000ea60

"FrameShutdownDelay"=dword:00000000

"NoUpdateCheck"=dword:00000001

"Search Bar"="Preserve"

"MinIEEnabled"=dword:00000001

"RefcountTracker"=dword:00000000

"TabDragOnSingleProc"=dword:00000000

"ForceBFCacheCandidacyPass"=dword:00000000

"Fasterback"=dword:00000001

"BackForwardInstrumentation"=dword:00000000

"EdgeSwitchingOSBuildNumber"="10586.th2_release.160906-1759"

"Print_Background"="yes"

"AutoHide"="no"

"UseSWRender"="0"

"Force Offscreen Composition"=dword:00000000

"New_Tab_Provider"=dword:00000002

"NoProtectedModeBanner"=dword:00000001

"SearchBandMigrationVersion"=dword:00000001

"HideNewEdgeButton"=dword:00000001

"ShowApplicationGuardFirstRunExperienceFromIE"=dword:00000001

"EnableLeakDetectionInEdge"=dword:00000000

"LastClosedWidth"=dword:00000320

"LastClosedHeight"=dword:00000258

"EnableGetHostEnvironmentValue"=dword:00000001

"IE11EdgeNotifyTime"=hex:00,00,00,00,00,00,00,00

"EdgeReminderURL"="http://go.microsoft.com/fwlink/?LinkId=838604"

"EdgeReminderDuration"=dword:0000001f

"EdgeReminderRemainingCount"=dword:00000006

"News Feed First Run Experience"=dword:00000000

"Start Page"="http://www.nate.com/?f=060020"

"SyncHomePage Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy"=hex:

"Use FormSuggest"="yes"

"IE11DefaultsFRECompletionTime"=hex:08,6e,38,50,13,c1,d5,01

"IE11DefaultsFREConfigUpdateTimestamp"=hex:08,6e,38,50,13,c1,d5,01

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ApplicationGuard]

"ShowFirstRunExperience"=dword:00000001

"RunAsIfDownloadToHostAvailable"=dword:00000000

"RunAsIfInContainer"=dword:00000000

"RunAsIfStandaloneMode"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_LMZ_IMG]

"iexplore.exe"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]

"AcroRd32.exe"=dword:00002af8

"PotPlayer.exe"=dword:00002af8

"swingie.exe"=dword:00002710

"GOMCam.exe"=dword:00002710

"GomMixProMain.exe"=dword:00002710

"AladinEbookViewer.exe"=dword:00002af8

"WacomDesktopCenter.exe"=dword:00002710

"starplayer.exe"=dword:00002710

"Acrobat_DC_Set-Up.exe"=dword:00002af9

"NateOnMain.exe"=dword:00002af9

"OneDrive.exe"=dword:00002af8

"ALCapture.exe"=dword:00002af9

"TeamViewer.exe"=dword:00002af9

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_MODE]

"iexplore.exe"=dword:00000008

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_NAVIGATION_SOUNDS]

"swingie.exe"=dword:00000001

"GOMCam.exe"=dword:00000001

"GomMixProMain.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLE_CLIPCHILDREN_OPTIMIZATION]

"PotPlayer.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_EUPP_GLOBAL_FORCE_DISABLE]

"iexplore.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]

"swingie.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]

"iexplore.exe"=dword:00000000

"swingie.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]

"LOCALMACHINE_CD_UNLOCK"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_NINPUT_LEGACYMODE]

"TeamViewer.exe"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SAFE_BINDTOOBJECT]

"swingie.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SCRIPTURL_MITIGATION]

"swingie.exe"=dword:00000001

"GOMCam.exe"=dword:00000001

"GomMixProMain.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SECURITYBAND]

"swingie.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_TABBED_BROWSING]

"swingie.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_USE_WINDOWEDSELECTCONTROL]

"swingie.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WEBOC_POPUPMANAGEMENT]

"swingie.exe"=dword:00000001

"GOMCam.exe"=dword:00000000

"GomMixProMain.exe"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Touch]

"FlickEducatorInfo"=dword:00000000

"GestureZoomMinimumIncrement"=dword:00000001

"GestureTimerInterval"=dword:0000000f

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\WindowsSearch]

"Version"="10.0.17134.471"

"User Favorites Path"="file:///C:\\Users\\Master\\Favorites\\"

"UpgradeTime"=hex:82,a9,0f,a1,6f,c1,d5,01

"ConfiguredScopes"=dword:00000005

"LastCrawl"=hex:52,8b,0e,90,fb,c1,d5,01

"Cleared"=dword:00000001

"Cleared_TIMESTAMP"=hex:9e,8e,31,e0,cb,c2,d5,01

"AutoCompleteGroups"=dword:00000005

"Disabled"=dword:00000000

"EnabledScopes"=dword:00000005

첫 번째 줄 "Windows Registry Editor Version 5.00"은 OSA 파일이 레지스트리 파일임을 알려줍니다.

두 번째 부분은 구성 세부 정보이며 OS에 레지스트리에 추가하고 변경할 내용을 알려줍니다.

홈페이지를 Daum 같은 특정 웹 사이트로 변경하려면 컴퓨터\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 으로 이동하십시오.

오른쪽 창에서 시작 페이지 옵션을 확인한 다음 "Start Page"를 두 번 클릭하십시오.

값 데이터(V): 아래에 웹 사이트 이름 (https://www.daum.net)을 입력하고 확인을 클릭하십시오.

이 변경 작업을 수행하는 동안 문제가 발생하면 내 보낸 파일을 두 번 클릭하여 변경 사항을 재설정하십시오.

특정 레지스트리 항목을 삭제하는 방법

프로그램을 제거하면 일부 레지스트리 설정이 삭제되지 않을 수 있습니다.

프로그램을 완전히 제거하려면 레지스트리에서 프로그램 항목을 삭제해야 합니다.

레지스트리 편집기를 열고 

컴퓨터\HKEY_LOCAL_MACHINE 옆에 있는 >부호를 클릭하십시오.

그런 다음 SOFTWARE를 클릭하고

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE

삭제해애야 할 프로그램을 식별하십시오.

올바른 항목을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭하십시오.

마지막으로 컴퓨터\HKEY_CURRENT_USER 옆의 < 부호를 클릭하고 Software로 이동하여 삭제해야 할 프로그램을 식별 한 후 항목을 마우스 오른쪽 단추로 클릭하고 삭제를 클릭하십시오.

컴퓨터\HKEY_CURRENT_USER\Software