보안

자동실행되는 프로그램을 레지스트리에서 찾기

sungtg 2008. 7. 15. 10:04

악성코드 때문에 고생을 많이 하게 될 겁니다.
레지스트리에서 자동실행되게 설정해 놓고 부팅 때 자동실행되게 만들어 놓는데..
일반적으로 잘 알고 있는


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

사용자 삽입 이미지

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
사용자 삽입 이미지

원래 레지스트리는 윈도우NT머신에서 가져온 것이기 때문에
레지스트리의 Windoes NT 하위에도 넣어서 자동실행 시킬 수 있습니다.
윈도우 로그온 만하면 실행시킬 수 있는 레지스트리의 키입니다

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
사용자 삽입 이미지

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
사용자 삽입 이미지

다음에는 윈도우서비스..
제어판/관리도구의 서비스 부분에서 자동실행시킵니다.
알약이나 v3등 바이러스 체크프로그램들이 윈도우의 서비스를 이용해서 자동실행됩니다.

사용자 삽입 이미지
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ALYac_PZSrv
사용자 삽입 이미지

그나마 이렇게 뚫고 들어오는 바이러스는 쉽지요..
항상 윈도우 실행되면 꼭 실행되어야 하는
explorer.exe, svchost.exe, lsass.exe, services.exe 같은 프로세스에 기생해서
dll파일 형태의 바이러스가 골치가 아프지요..