5일차 공통 교육 과정(윈도우)

레지스트리 

윈도우 운영체제 내에 여러 설정 값들을 담은 일종의 디비

레지스트리만 잘보면 다 나오지만 어렵다 (바탕화면 아이콘 크기, 로컬정책, ip, 하드웨어, 소프트웨어, 사용자 pc선호도 등등 모든 정보가 있음)

32, 64bit 아키텍쳐 

키와 값으로 구성되어있음

키 (트리구조)

윈도우의 폴더와 유사

경로와 같은 개념으로 사용

값

키안에 담긴 이름 자료

여러 키로부터 참조 가능

 

 

리눅스와 차이점 > 리눅스는 각 설정값을 파일로 담고 있다. 

 

머가 더 편할까? 

리눅스가 더 편하다.

우리에게 편한건 윈도우 이지만 레지스트리는 외우기가 힘들고 분석하는 입장에서는 파일이 더 편하다.

 

편집기 regedit

 

주로 크게 5가지

 

 HKCR

HKCU

HKLM > 분석할때 많이봄 

HKU

HKCC

 

H = hive

 

 

윈도우에는 원격 데스크톱 서비스가 존재

RDP 서비스가 실행되고 있을경우

기본 포트: 3389 > well known 포트 > 수시로 공격 들어옴 = 알수없는 사용자의 로그인 시도 지속적으로 발생

> 타 컴퓨터에서 ip주소, 계정, 3389포트로 원격 데스크톱 접근 가능

외부에서 접근하도록 설정

 

 

https://www.lainyzine.com/ko/article/how-to-change-port-number-of-remote-desktop-on-windosw-10/

[Windows 10] 원격 데스크톱 포트(3389) 변경하는 방법

 

regestry 특정 키에대한 값 변경

HKLM/SYSTEM/CurrentControlset/Terminal Server/Wds/dpwd/Tds/tcp

HKLM/SYSTEM/CurrentControlset/Terminal Server/WinStations/RDP-Tcp

 

service.msc > Remote Desktop Service (다시시작)

고급 설정이 포함된 방화벽 > 인바운드 규칙설정 > 58000포트에 대한 tcp upd 허용

시스템설정 > 원격접속 활성화

 

but 비밀번호가 없는 계정으로는 원격 연결이 할수 없다

> 공격자 입장에서 암호없이 접근하는 방법??? 

계정: 콘솔 로그온시 로컬 계정에서 빈 암호 사용 제한 을 수정할수 있는 레지스트리 키를 찾아야 한다

> 명령어로 값 수정

 

 

대부분

1 =사용

0 =사용 않함

 

 

악성코드 실행시 어떤 레지스트리 값을 추가하고 싶을까? 

!자동실행!

확인할거 > 시작프로그램, 스케줄러, 원격,