[Memory] GrrCON 2015 #5

레지스트리 Key의 이름을 물어본다.

 

레지스트리는 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보들을 저장해둔 설정값의 집합이다.

 

레지스트리는 대부분 하이브라고 불리는 파일 세트에 들어가 있다.

Volatility 기능 중 하이브를 알기 위해서는 hivelist 명령어가 필요하다.

 

hivelist : 레지스트리 하이브의 물리 주소, 가상 주소, 경로를 포함한 이름 출력. 이때 나온 가상 주소가 특정 레지스트리에 대한 플러그인을 실행할 때 필요하다.

 

 

ntuser : 레지스트리의 HKEY_USERS에 해당하는 하이브파일 'C:₩Users₩' 사용자 폴더 에 사용자 계정마다 각각 존재한다. 하지만 파일은 사용자가 로그인되는 동안 시스템에서 사용하기 때문에 ntuser.dat를 사용하기 위해서는 로그오프 이후 ntuser.dat 다른 사용자 계정으로 엑세스 해야 한다

---

여기까지 찾아봤는데..

Run 레지스트리가 재부팅 후에도 지속성을 유지하기 위해 멀웨어가 사용하고 있는 레지스트리 Key라는 것을 알게 되었다.

하.. 다 부질없다

 

printkey : 레지스트리 키의 서비키, 값을 출력

-K 옵션 : 레지스트리 키의 경로를 입력하면 해당 레지스트리에 대해서만 정보를 가져옴

-o 옵션 : 가상 주소 입력하면 특정 하이브에 대해서만 탐색

경로 : \Microsoft\Windows\CurrentVersion\Run

 

printkey

두가지 key가 나오는데 3번 문제에서 나왔던 AnyConnect 악성코드 정보를 가지는 MrRobot이 답이다.

 

key : MrRobot